js同源策略详解


Posted in Javascript onMay 21, 2015

本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下:

概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。

这里的同源指的是:同协议,同域名和同端口。

精髓:

它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。

为什么要有同源限制?

我们举例说明:比如一个黑客程序,他利用IFrame把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过Javascript读取到你的表单中input中的内容,这样用户名,密码就轻松到手了。

Ajax应用:

在Ajax应用中这种安全限制被突破。

在普通的Javascript应用中,我们可以修改Frame的href,或者IFrame的src,以实现GET方式的跨域提交,但是却不能访问跨域的Frame/IFrame中的内容。

而Ajax它通过XMLHTTP进行异步交互,这个对象同样能够与远程的服务器进行信息交互,而且更加危险的是,XMLHTTP是一个纯粹的Javascript对象,这样的交互过程,是在后台进行的,不被用户察觉。因此,XMLHTTP实际上已经突破了原有的Javascript的安全限制。

如果我们又想利用XMLHTTP的无刷新异步交互能力,又不愿意公然突破Javascript的安全策略,可以选择的方案就是给XMLHTTP加上严格的同源限制。这样的安全策略,很类似于Applet的安全策略。IFrame的限制还仅仅是不能访问跨域HTMLDOM中的数据,而XMLHTTP则根本上限制了跨域请求的提交

浏览器支持:而IE其实给这个安全策略开了两个想当然的后门,一个是:他假设你的本地文件,自然清楚将会访问什么内容,所以任何你的本地文件访问外部数据, 都不会收到任何的警告。另一个是:当你访问的网站脚本打算访问跨域的信息时, 他居然仅仅是弹出一个对话框来提醒你一下。如果一个欺诈网站,采用这样的手段,提供一个假页面给你,然后通过XMLHTTP帮你远程登录真实的银行服务器。只要10个用户里,有一个用户糊涂一下,点了一个确定。他们的盗取帐号行为,就成功了! 你想想看,这是何等危险的事情!

FireFox就不是这样的做法,缺省的情况下,FireFox根本就不支持跨域的XMLHTTP请求,根本就不给黑客这样的机会。

避免同源策略:

JSON和动态脚本标记

<script type="text/javascript"
src="http://yoursiteweb.com/findItinerary?username=sachiko&
reservationNum=1234&output=json&callback=showItinerary" /> 

当 JavaScript 代码动态地插入 <script> 标记时,浏览器会访问 src 属性中的 URL。这样会导致将查询字符串中的信息发送给服务器。在 清单 1中,所传递的是 username 和 reservation 作为名称值对传递。此外,查询字符串还包含向服务器请求的输出格式和回调函数的名称(即 showItinerary)。<script> 标记加载后,会执行回调函数,并通过回调函数的参数把从服务返回的信息传递给该回调函数。

Ajax代理

Ajax 代理是一种应用级代理服务器,用于调解 Web 浏览器和服务器之间的 HTTP 请求和响应。Ajax 代理允许 Web 浏览器绕过同源策略,这样便可以使用 XMLHttpRequest 访问第三方服务器。要实现这种绕过,有如下两种方法可供选择:
客户端 Web 应用程序知道第三方 URL 并将该 URL 作为 HTTP 请求中的一个请求参数传递给 Ajax 代理。然后,代理将请求转发给 [url]3water.com[/url]。注意,可以把代理服务器的使用隐藏在 Web应用程序开发人员所使用的 Ajax 库的实现中。对于 Web 应用程序开发人员而言,它看上去可能完全不具有同源策略。
客户端 Web 应用程序不知道第三方 URL,并且尝试通过 HTTP 访问 Ajax 代理服务器上的资源。通过一个预定义的编码规则,Ajax 代理将 所请求的 URL 转换为第三方服务器的 URL 并代表客户检索内容。这样一来,Web 应用程序开发人员看上去就像是在和代理服务器直接进行通信。

Greasemonkey

Greasemonkey 是一个 Firefox 扩展,它允许用户动态地对 Web 页面的样式和内容进行修改。Greasemonkey 用户可以把用户脚本(user script)文件与一个 URL 集合建立关联。当浏览器通过该 URL 集合加载页面时,便会执行这些脚本。Greasemonkey 为用户脚本的 API 提供了额外的许可(与运行在浏览器沙盒中的脚本的许可相比较)。

GM_XMLHttpRequest 是其中的一个 API,它从本质上说就是一个不具有同源策略的 XMLHttpRequest。用户脚本可以将浏览的内置 XMLHttpRequest 替代为 GM_XMLHttpRequest,从而许可 XMLHttpRequest 执行跨域访问。

GM_XMLHttpRequest 的使用只能通过用户同意的途径才能受到保护。也就是说,Greasemonkey 只有在建立新用户脚本与特定 URL 的集合之间的关联时才会要求用户配置。然而,不难想象一些用户可能会被欺骗,在没有完全理解其后果时就接受该安装。

希望本文所述对大家的javascript程序设计有所帮助。

Javascript 相关文章推荐
jQuery 跨域访问问题解决方法
Dec 02 Javascript
js 实现css风格选择器(压缩后2KB)
Jan 12 Javascript
js日期相关函数总结分享
Oct 15 Javascript
利用CSS、JavaScript及Ajax实现高效的图片预加载
Oct 16 Javascript
纯js实现遮罩层效果原理分析
May 27 Javascript
基于javascript的JSON格式页面展示美化方法
Jul 02 Javascript
jquery中map函数遍历数组用法实例
May 18 Javascript
js实现仿网易点击弹出提示同时背景变暗效果
Aug 13 Javascript
Seajs 简易文档 提供简单、极致的模块化开发体验
Apr 13 Javascript
Webpack 4.x搭建react开发环境的方法步骤
Aug 15 Javascript
微信小程序文章详情页面实现代码
Sep 10 Javascript
《javascript设计模式》学习笔记五:Javascript面向对象程序设计工厂模式实例分析
Apr 08 Javascript
js设置document.domain实现跨域的注意点分析
May 21 #Javascript
jQuery+ajax实现无刷新级联菜单示例
May 21 #Javascript
jQuery插件expander实现图片翻转特效
May 21 #Javascript
简单分析javascript面向对象与原型
May 21 #Javascript
jQuery获取上传文件的名称的正则表达式
May 21 #Javascript
js兼容火狐获取图片宽和高的方法
May 21 #Javascript
js兼容火狐显示上传图片预览效果的方法
May 21 #Javascript
You might like
模仿OSO的论坛(三)
2006/10/09 PHP
批量去除PHP文件中bom的PHP代码
2012/03/13 PHP
利用PHP+JS实现搜索自动提示(实例)
2013/06/09 PHP
phpstorm配置Xdebug进行调试PHP教程
2014/12/01 PHP
表格 隔行换色升级版
2009/11/07 Javascript
js获取当月最后一天实例代码
2013/11/19 Javascript
js中typeof的用法汇总
2013/12/12 Javascript
JS获取下拉列表所选中的TEXT和Value的实现代码
2014/01/11 Javascript
详细解读JavaScript的跨浏览器事件处理
2015/08/12 Javascript
BootStrap 智能表单实战系列(二)BootStrap支持的类型简介
2016/06/13 Javascript
DataTables+BootStrap组合使用Ajax来获取数据并且动态加载dom的方法(排序,过滤,分页等)
2016/11/09 Javascript
Node.js中路径处理模块path详解
2016/11/14 Javascript
JavaScript实现垂直向上无缝滚动特效代码
2016/11/23 Javascript
js模糊查询实例分享
2016/12/26 Javascript
AngularJS中update两次出现$promise属性无法识别的解决方法
2017/01/05 Javascript
js实现5秒倒计时重新发送短信功能
2017/02/05 Javascript
激动人心的 Angular HttpClient的源码解析
2017/07/10 Javascript
echarts鼠标覆盖高亮显示节点及关系名称详解
2018/03/17 Javascript
Python中的pass语句使用方法讲解
2015/05/14 Python
微信跳一跳python自动代码解读1.0
2018/01/12 Python
pandas中的DataFrame按指定顺序输出所有列的方法
2018/04/10 Python
Python 可变类型和不可变类型及引用过程解析
2019/09/27 Python
常用python爬虫库介绍与简要说明
2020/01/25 Python
python实现图像全景拼接
2020/03/27 Python
解决django 向mysql中写入中文字符出错的问题
2020/05/18 Python
python3 googletrans超时报错问题及翻译工具优化方案 附源码
2020/12/23 Python
携程旅行网:中国领先的在线旅行服务公司
2017/02/17 全球购物
英国家喻户晓的折扣商场:TK Maxx
2017/05/26 全球购物
某公司C#程序员面试题笔试题
2014/05/26 面试题
港湾网络笔试题
2014/04/19 面试题
《翻越远方的大山》教学反思
2014/04/13 职场文书
科技之星事迹材料
2014/06/02 职场文书
深入开展党的群众路线教育实践活动心得体会
2014/11/05 职场文书
会计稽核岗位职责
2015/04/13 职场文书
学雷锋广播稿大全
2015/08/19 职场文书
浅析Redis Sentinel 与 Redis Cluster
2021/06/24 Redis