摘要:同源策略是什么同源策略是瀏覽器的一個(gè)安全功能��,不同源的數(shù)據(jù)禁止訪問(wèn)��?�;蛟S你可以說(shuō)驗(yàn)證�,在瀏覽器沒(méi)有同源策略的情況下這些都可以繞過(guò)去?���?偨Y(jié)同源策略是蠻好的,防御了大部分的攻擊����。
前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門(mén)技術(shù)就算入門(mén)����,但也僅僅是入門(mén),現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些�����。前端小課堂(HTML/CSS/JS)���,本著提升技術(shù)水平��,打牢基礎(chǔ)知識(shí)的中心思想�,我們開(kāi)課啦(每周四)��。
同源策略是什么�?
同源策略是瀏覽器的一個(gè)安全功能,不同源的數(shù)據(jù)禁止訪問(wèn)����。
所以 lilnong.top 下的 ajax 訪問(wèn) 51vv.com 數(shù)據(jù)是會(huì)報(bào)錯(cuò)��。(network 可以看到 response��,證明限制是瀏覽器方的限制)
當(dāng)然�����,也有例外
表單提交����、鏈接
這些項(xiàng)等同于切換頁(yè)面
script標(biāo)簽的src�����、link標(biāo)簽的href����、img標(biāo)簽的src、iframe標(biāo)簽的src
上述的資源可以引用��,但是不可獲取內(nèi)容�����。
img 可以顯示出來(lái),但是你無(wú)法放入canvas二次使用�����,會(huì)把canvas的源污染���。
iframe 可以顯示,不可以獲取DOM
script 不可獲取報(bào)錯(cuò)代碼位置���。
同源的定義
端口�、域名�、協(xié)議 都相同,定義為同源�。
針對(duì)http://www.lilnong.top/static這個(gè)地址來(lái)說(shuō)。端口(80)�����,域名(www.lilnong.top),協(xié)議(http)
| URL |
端口 |
域名 |
協(xié)議 |
描述 |
| https://www.lilnong.top |
80 |
www.lilnong.top |
https |
協(xié)議不同����,不同源
|
| http://lilnong.top |
80 |
lilnong.top |
http |
域名不同,不同源
|
| http://lilnong.top:8080 |
8080 |
lilnong.top |
http |
域名不同�����,端口不同,不同源
|
| http://www.lilnong.top:8080 |
8080 |
www.lilnong.top |
http |
端口不同�����,不同源
|
| http://www.lilnong.top/ |
80 |
www.lilnong.top |
http |
同源 |
| http://www.51vv.com |
80 |
www.51vv.com |
http |
域名不同��,不同源
|
為什么要有同源策略
安全問(wèn)題
例子1:普通的網(wǎng)絡(luò)用戶�,不會(huì)去記域名等內(nèi)容。如果我在我自己的頁(yè)面內(nèi)�,嵌套一個(gè)
