摘要:為什么要有同源限制同源策略的目的主要是為了防止惡意獲取修改網(wǎng)站數(shù)據(jù)���。假設現(xiàn)在沒有同源策略���,會發(fā)生什么事情呢大家知道�,可以做很多東西,比如讀取修改網(wǎng)頁中某個值。
什么是同源
同domain(或ip),同端口���,同協(xié)議視為同一個域,一個域內(nèi)的腳本僅僅具有本域內(nèi)的權限,可以理解為本域腳本只能讀寫本域內(nèi)的資源,而無法訪問其它域的資源����。這種安全限制稱為同源策略。
為什么要有同源限制
同源策略的目的主要是為了防止惡意獲取/修改網(wǎng)站數(shù)據(jù)����。而這些數(shù)據(jù)主要包括cookie����,LocalStorage�����,DOM��,以及發(fā)送的AJAX請求。
假設現(xiàn)在沒有同源策略�����,會發(fā)生什么事情呢���?大家知道��,JavaScript可以做很多東西��,比如:讀取/修改網(wǎng)頁中某個值。恩��,你現(xiàn)在打開了瀏覽器���,在一 個tab窗口中打開了銀行網(wǎng)站����,在另外一個tab窗口中打開了一個惡意網(wǎng)站��,而那個惡意網(wǎng)站掛了一個的專門修改銀行信息的JavaScript���,當你訪問 這個惡意網(wǎng)站并且執(zhí)行它JavaScript時��,你的銀行頁面就會被這個JavaScript修改���,后果會非常嚴重�!而同源策略就為了防止這種事情發(fā)生���。
所以�����,我們可以知道��,同源策略是必須的,但是���,有的時候我們還是要規(guī)避同源策略的限制,比如說從A網(wǎng)站跳到B網(wǎng)站時��,我們要讀到A網(wǎng)站的cookie�。
document.domain
document.domain屬性用來得到當前網(wǎng)頁的域名。
我們也可以給document.domain屬性賦值��,不過是有限制的�����,你只能賦成當前的域名或者基礎域名���。
比如:你當前域名是qa-my.test.segmentgault.com
那么你就可以設置
document.domain = ".test.segmentgault.com"
或者
document.domain = "qa-my.test.segmentgault.com"
上面的賦值都是成功的�����,因為qa-my.test.segmentgault.com是當前的域名��,而.test.segmentgault.com是基礎域名���。
但是下面的賦值就會出來"參數(shù)無效"的錯誤:
document.domain = "google.com"
因為google.com即不是當前的域名也不是當前域名的基礎域名���,所以會有錯誤出現(xiàn)�����。
這是為了防止有人惡意修改document.domain來實現(xiàn)跨域偷取數(shù)據(jù)。
利用document.domain 實現(xiàn)共享cookie
Cookie 是服務器寫入瀏覽器的一小段信息���,只有同源的網(wǎng)頁才能共享。瀏覽器允許基礎域名相同的網(wǎng)站間通過設置document.domain共享 Cookie�。
舉例來說�,A網(wǎng)頁是
http://my.segmentfault.com/a.html
B網(wǎng)頁是
http://he.segmentfault.com/b.html
那么只要設置相同的document.domain�����,兩個網(wǎng)頁就可以共享Cookie���。
document.domain = "segmentfault.com"
現(xiàn)在�����,A網(wǎng)頁通過腳本設置一個 Cookie
document.cookie = "domainTest=hello world"
B網(wǎng)頁就可以讀到這個Cookie
文章版權歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/87787.html
