摘要:同源策略同源是對(duì)能操作那些內(nèi)容的一條完整的安全限制��。使用和的也是不同的來源���,因?yàn)閰f(xié)議不同���。不嚴(yán)格的同源策略本地使用啟動(dòng)服務(wù)�����。設(shè)置這樣就設(shè)置了一個(gè)同源,對(duì)于的請(qǐng)求���,當(dāng)做全部同源。不會(huì)受到同源的約束����。
同源策略
同源是js對(duì)能操作那些web內(nèi)容的一條完整的安全限制�����。當(dāng)web頁面打開其他瀏覽器窗口,或者使用iframe的時(shí)候��,會(huì)發(fā)揮作用����。
即,腳本只能讀取和所屬文檔來源相同的窗口和文檔的屬性��。
文檔的來源包含協(xié)議�����,主機(jī)�����,載入文檔的url端口。從不同web服務(wù)器載入的文檔具有不同的來源��,同過同一主機(jī)的不同端口載入的文檔也具有不同的來源����。使用http和https的也是不同的來源���,因?yàn)閰f(xié)議不同�。
即,協(xié)議���,主機(jī), 載入文檔的url端口,完全和文檔的相同,才能允許腳本讀取文件內(nèi)容�。
但是對(duì)于腳本本身的來源沒有任何的關(guān)系����。
舉例
腳本a是包含在一個(gè)來自主機(jī)b文檔bb的�����,即腳本a可以訪問文檔bb的所有的內(nèi)容�����。
腳本a又打開了一個(gè)來自于主機(jī)c的cc文檔,由于來源不同��,腳本a不能訪問文檔cc的內(nèi)容���。但是如果腳本a又打開一個(gè)來自主機(jī)b的文檔bbb��,這時(shí)�,腳本a可以訪問文檔bbb(此時(shí)是在兩個(gè)不同的窗口下����,也可以實(shí)現(xiàn)訪問)
如果腳本打開一個(gè)窗口,腳本也可以關(guān)閉����,但不能以任何方式查看窗口內(nèi)部����。
不嚴(yán)格的同源策略
本地使用web server for chrome 啟動(dòng)服務(wù)��。修改host文件��,解析home.abc.com 以及 abc.com到這兩個(gè)域名
訪問,http://home.abc.com:8887/ 以及http://abc.com:8887/都來自于同一主機(jī) 127.0.0.1
這樣就完成了一個(gè)最簡單的本地服務(wù)器的搭建
設(shè)置document.domain
> document.domain
"home.abc.com"
只允許請(qǐng)求home.abc.com來源的網(wǎng)站。
設(shè)置
> document.domain = "abc.com";
"abc.com"
這樣就設(shè)置了一個(gè)同源,對(duì)于
*.abc.com
的請(qǐng)求,當(dāng)做全部同源。
設(shè)置相同的document.domain
設(shè)置相同的document.domain��,如果兩個(gè)值相同���,則腳本可以互相訪問�。不會(huì)受到同源的約束。
跨域資源共享
使用Origin擴(kuò)展http�����,確保資源共享
https://developer.mozilla.org...
顯式的列出所有源�����。根據(jù)Origin的值���,列出源�����,避免再次跨源
跨文檔消息
使用postMessage()方法,異步傳遞消息事件
腳本化插件和ActiveX控件
在web瀏覽器中,js被用作很多軟件和插件的腳本引擎。
ActiveX 網(wǎng)上銀行用的多�����,╮(╯▽╰)╭
很老很老的技術(shù)了��。。3721��。(⊙o⊙)
js不能做什么
客戶端js沒有權(quán)限寫入刪除客戶計(jì)算機(jī)上的任意文件或列出任意目錄���。即js程序不能刪除數(shù)據(jù)或者植入病毒���。
客戶端的js沒有任何通用的網(wǎng)絡(luò)能力�,客戶端js程序可以對(duì)http協(xié)議編程,并且有套接字的api,用于指定服務(wù)器通信,但是都不能進(jìn)行更大范圍���,更廣的網(wǎng)絡(luò)進(jìn)行訪問。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/96549.html
