测试是否支持跨域_浅谈跨域威胁与安全
WEB前端中最常見(jiàn)的兩種安全風(fēng)險(xiǎn),XSS與CSRF,XSS,即跨站腳本攻擊、CSRF即跨站請(qǐng)求偽造,兩者屬于跨域安全攻擊,對(duì)于常見(jiàn)的XSS以及CSRF在此不多談?wù)?#xff0c;僅談?wù)撘恍┎惶R?jiàn)的跨域技術(shù)以及安全威脅。
一、 域
域,即域名對(duì)應(yīng)的網(wǎng)站。不同的域名對(duì)應(yīng)的不同的網(wǎng)站,相同的域名不同的端口也對(duì)應(yīng)的不同的網(wǎng)站,因此,域,從字面意思以及實(shí)質(zhì)意思都為空間,所以在web中空間即代表的是網(wǎng)站。
二、同源策略(SOP)
2.1 同源策略定義
同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來(lái)自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。
同源策略必須要同時(shí)滿足以下三個(gè)條件,只要有任何一個(gè)不同,都被當(dāng)作是不同的域:
1、協(xié)議相同
2、域名相同
3、端口號(hào)相同
舉例說(shuō)明:
| http | www.a.com | 80 | ||
| http | www.b.com | 80 | 否 | 域名不同 |
| https | www.a.com | 80 | 否 | 協(xié)議不同 |
| http | www.a.com | 8080 | 否 | 端口不同 |
2.2 同源策略限制
同源策略限制了只有同源的腳本才會(huì)被執(zhí)行,當(dāng)打開(kāi)一個(gè)網(wǎng)站的時(shí)候,會(huì)首先檢查是否同源,如果非同源,在請(qǐng)求數(shù)據(jù)的時(shí)候,瀏覽器就會(huì)進(jìn)行攔截報(bào)異常,拒絕訪問(wèn)。
三、跨域本質(zhì)
跨域本質(zhì)就是繞過(guò)同源策略的嚴(yán)格限制,安全與實(shí)用往往有時(shí)候會(huì)有一定的矛盾性,開(kāi)發(fā)人員更注重的是功能的開(kāi)發(fā)使用,例如有時(shí)候同二級(jí)域名下的不同三級(jí)域名需要進(jìn)行一些信息數(shù)據(jù)傳輸時(shí),共享一些資源時(shí),同源策略將其限制,但是又要實(shí)現(xiàn)該功能,此時(shí)就誕生了一些跨越請(qǐng)求的技術(shù)。
四、跨域技術(shù)
本文將介紹較大范圍的跨域,即從一個(gè)域到另一個(gè)域都將其歸為跨域。因此,將其歸結(jié)為兩種情況:
1、跨域請(qǐng)求
2、跨域跳轉(zhuǎn)
五、跨域威脅
5.1 JSONP跨域
5.1.1 jsonp跨域原理
利用
總結(jié)
以上是生活随笔為你收集整理的测试是否支持跨域_浅谈跨域威胁与安全的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 前端:background背景图
- 下一篇: 1.数据库基本概念知识