javascript同源策略
2016-03-01 19:50
405 查看
本文根据其他文章做修改和补充。
一、同源策略的产生
JS可以读取/修改网页的值。
一个浏览器中,打开一个银行网站和一个恶意网站,如果恶意网站能够对银行网站进行修改,那么就会很危险。
你打开了恶意网站和另一个网站,如果没有同源限制,该恶意网站就可以构造AJAX请求频繁在另一个网站发广告帖。
同源策略就是为了解决这类问题而出现的。
二、什么是同源策略(举例)
同源策略,即拥有相同的协议(protocol),端口(如果指定),主机(域名)的两个页面是属于同一个源。
然而在IE中比较特殊,IE中没有将端口号加入同源的条件中,因此上图中端口不同那一项,在IE中是算同源的
三、不遵循同源策略的标签
<script> <img> <iframe>中的src,href都可以任意链接网络资源,相当于对所要求的源进行了一次请求。
四、源继承
来自about:blank,javascript:和data:URLs中的内容,继承了将其载入的文档所指定的源,因为它们的URL本身未指定任何关于自身源的信息。
五、变更源
假设在 http://store.company.com/dir/other.html 中的一个脚本执行了下列语句:
document.domain = "company.com";
这条语句执行之后,页面将会成功地通过对 http://company.com/dir/page.html 的同源检测。而同理,company.com不能设置 document.domain 为 othercompany.com.
一、同源策略的产生
JS可以读取/修改网页的值。
一个浏览器中,打开一个银行网站和一个恶意网站,如果恶意网站能够对银行网站进行修改,那么就会很危险。
你打开了恶意网站和另一个网站,如果没有同源限制,该恶意网站就可以构造AJAX请求频繁在另一个网站发广告帖。
同源策略就是为了解决这类问题而出现的。
二、什么是同源策略(举例)
同源策略,即拥有相同的协议(protocol),端口(如果指定),主机(域名)的两个页面是属于同一个源。
然而在IE中比较特殊,IE中没有将端口号加入同源的条件中,因此上图中端口不同那一项,在IE中是算同源的
三、不遵循同源策略的标签
<script> <img> <iframe>中的src,href都可以任意链接网络资源,相当于对所要求的源进行了一次请求。
四、源继承
来自about:blank,javascript:和data:URLs中的内容,继承了将其载入的文档所指定的源,因为它们的URL本身未指定任何关于自身源的信息。
五、变更源
假设在 http://store.company.com/dir/other.html 中的一个脚本执行了下列语句:
document.domain = "company.com";
这条语句执行之后,页面将会成功地通过对 http://company.com/dir/page.html 的同源检测。而同理,company.com不能设置 document.domain 为 othercompany.com.
相关文章推荐
- ExtJS之Progressbar进度条的手动模式和自动模式。
- javascript键值映射
- magento 提交订单处理js
- JavaScript的一些认识
- Chrome浏览其中,关闭窗口js无效.(window.close())
- $.ajax返回的JSON格式的数据正常后无法进入success的解决方法
- angular js的data赋值(给类中的一个类属性的属性赋值)
- 前端编码风格规范(3)—— JavaScript 规范
- Javascript 编程小技巧总结(部分内容借鉴他人)
- fastJson顺序遍历JSON字段
- JavaScript学习基础篇【第1篇】: JavaScript 入门
- Java程序猿的JavaScript学习笔记(汇总文件夹)
- js实现类似于百度学术的高级检索功能
- Jstl标签的使用
- 一组JavaScript试题(包含一些容易混淆的知识点)
- js学习笔记2(5章操作方法)
- javascript:Bing Maps AJAX Control, Version 7.0
- 规范返回json格式
- 160301、js倒计时,页面上显示时间
- JSTL