摘要:為什么要有同源限制同源策略的目的主要是為了防止惡意獲取修改網(wǎng)站數(shù)據(jù)���。假設(shè)現(xiàn)在沒有同源策略�,會發(fā)生什么事情呢大家知道�����,可以做很多東西�����,比如讀取修改網(wǎng)頁中某個(gè)值��。
什么是同源
同domain(或ip),同端口�����,同協(xié)議視為同一個(gè)域����,一個(gè)域內(nèi)的腳本僅僅具有本域內(nèi)的權(quán)限�����,可以理解為本域腳本只能讀寫本域內(nèi)的資源����,而無法訪問其它域的資源�����。這種安全限制稱為同源策略����。
為什么要有同源限制
同源策略的目的主要是為了防止惡意獲取/修改網(wǎng)站數(shù)據(jù)����。而這些數(shù)據(jù)主要包括cookie,LocalStorage����,DOM,以及發(fā)送的AJAX請求���。
假設(shè)現(xiàn)在沒有同源策略�����,會發(fā)生什么事情呢���?大家知道����,JavaScript可以做很多東西����,比如:讀取/修改網(wǎng)頁中某個(gè)值。恩�����,你現(xiàn)在打開了瀏覽器��,在一 個(gè)tab窗口中打開了銀行網(wǎng)站�����,在另外一個(gè)tab窗口中打開了一個(gè)惡意網(wǎng)站����,而那個(gè)惡意網(wǎng)站掛了一個(gè)的專門修改銀行信息的JavaScript����,當(dāng)你訪問 這個(gè)惡意網(wǎng)站并且執(zhí)行它JavaScript時(shí)���,你的銀行頁面就會被這個(gè)JavaScript修改���,后果會非常嚴(yán)重!而同源策略就為了防止這種事情發(fā)生����。
所以,我們可以知道�,同源策略是必須的�����,但是���,有的時(shí)候我們還是要規(guī)避同源策略的限制�����,比如說從A網(wǎng)站跳到B網(wǎng)站時(shí)��,我們要讀到A網(wǎng)站的cookie����。
document.domain
document.domain屬性用來得到當(dāng)前網(wǎng)頁的域名。
我們也可以給document.domain屬性賦值�,不過是有限制的,你只能賦成當(dāng)前的域名或者基礎(chǔ)域名�。
比如:你當(dāng)前域名是qa-my.test.segmentgault.com
那么你就可以設(shè)置
document.domain = ".test.segmentgault.com"
或者
document.domain = "qa-my.test.segmentgault.com"
上面的賦值都是成功的,因?yàn)閝a-my.test.segmentgault.com是當(dāng)前的域名�����,而.test.segmentgault.com是基礎(chǔ)域名���。
但是下面的賦值就會出來"參數(shù)無效"的錯(cuò)誤:
document.domain = "google.com"
因?yàn)間oogle.com即不是當(dāng)前的域名也不是當(dāng)前域名的基礎(chǔ)域名�,所以會有錯(cuò)誤出現(xiàn)��。
這是為了防止有人惡意修改document.domain來實(shí)現(xiàn)跨域偷取數(shù)據(jù)����。
利用document.domain 實(shí)現(xiàn)共享cookie
Cookie 是服務(wù)器寫入瀏覽器的一小段信息,只有同源的網(wǎng)頁才能共享���。瀏覽器允許基礎(chǔ)域名相同的網(wǎng)站間通過設(shè)置document.domain共享 Cookie����。
舉例來說,A網(wǎng)頁是
http://my.segmentfault.com/a.html
B網(wǎng)頁是
http://he.segmentfault.com/b.html
那么只要設(shè)置相同的document.domain���,兩個(gè)網(wǎng)頁就可以共享Cookie�。
document.domain = "segmentfault.com"
現(xiàn)在�,A網(wǎng)頁通過腳本設(shè)置一個(gè) Cookie
document.cookie = "domainTest=hello world"
B網(wǎng)頁就可以讀到這個(gè)Cookie
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/87787.html
