同源策略/AJAX 请求
Posted 网络空间安全社
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了同源策略/AJAX 请求相关的知识,希望对你有一定的参考价值。
同源策略简单来说就是通信双方协议,域名,端口都要一致。
域名 1 |
域名 2 |
是否同源 |
http://www.1.com |
http://www.1.com/2/ |
同源 |
https://www.1.com |
http://www.1.com |
不同源(协议不一致) |
http://www.1.com |
http://www.2.com |
不同源(域名不一致) |
子域名 也不是同源 |
||
http://www.1.com:81 |
http://www.1.com:82 |
不同源(端口不一致) |
阻止网站脚本访问其他站点使用的脚本,同时也阻止它与其他站点脚本交互,也就是保证在你访问 A、B 网站时,A 网站不会获取你在 B 网站的信息。是脚本之间。
fireBug 是一个很好的工具,可以直观地编辑 html 元素,绕过客户端的验证等,还可以通过查询网络请求,看是否存在 Ajax 的请求,经验告诉我们,Ajax 比较容易出现漏洞。像注入或者逻辑错误之类的。
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
文章来自百度
以上是关于同源策略/AJAX 请求的主要内容,如果未能解决你的问题,请参考以下文章