資訊專欄INFORMATION COLUMN
摘要:可以說同源策略在安全中扮演著及其重要的角色。我把這個領(lǐng)域的東西寫成了一個系列,以后還會繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊
之所以要將同源策略與跨域?qū)懺谝黄穑且驗榇嬖跒g覽器的同源策略,才會存在跨域問題何為同源策略
同源策略是瀏覽器實現(xiàn)的一種安全策略,它限制了不同源之間的文檔和腳本交互的權(quán)限。只有同一個源的腳本才會具有操作dom、讀寫cookie、session 、ajax等敏感操作的權(quán)限。可以說同源策略在web安全中扮演著及其重要的角色。所謂同源簡單來說即是兩個頁面必須具有相同的協(xié)議、端口還有域名。
以http://www.site.com/index.html為例,舉個小栗子:
| url | 是否跨域 | 原因 |
| http://www.site.com/other/ind... | 否 | |
| http://child.site.com/index.html | 是 | origin 不一樣(www與child) |
| http://www.site.com:8090/index.html | 是 | 端口 不一樣(80與8090) |
| https://www.site.com/index.html | 是 | 協(xié)議 不一樣(http與https) |
不得不調(diào)侃一下,在兼容性方面IE似乎永遠(yuǎn)都難以跟上別的瀏覽器發(fā)展的步伐,永遠(yuǎn)都是一個例外。
授信范圍(Trust Zones):兩個相互之間高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
端口:IE未將端口號加入到同源策略的組成部分之中,因此 http://www.size.com:81/index.html 和http://www.size.com:8090/index.html 屬于同源并且不受任何限制。
雖然同源策略限制了跨域文檔腳本的操作能力,但明確允許部分資源性的標(biāo)簽是可以加載跨域資源的,如, 標(biāo)簽嵌入跨域腳本。語法錯誤信息只能在同源腳本中捕捉到。
標(biāo)簽嵌入CSS。由于CSS的松散的語法規(guī)則,CSS的跨域需要一個設(shè)置正確的Content-Type消息頭。
嵌入圖片。
@font-face引入的字體。
和