关于同源策略

Posted 瓶子2333

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于同源策略相关的知识,希望对你有一定的参考价值。

作为网络安全的一项基本措施,早期由Netscape引入浏览器,同源指的是:

1.协议相同;

2.域名相同;

3.端口相同;

违背同源策略的情况有:

1.协议名不同,如http和https

2.端口号不同;

3.域名不同;

4.主域相同,子域不同;

5.主域和主域对应的ip

同源的情况:

同协议同域名同端口下的不同文件目录;

a.com与www.a.com

 

关于跨域的问题之前写过一篇梳理了,这里写下对https的初步认识。

https比http多了一个s。s是secure的意思,这个secure怎么来的呢?或者说怎么保证secure呢?这要多亏了Secure Sockets Layer(SSL,安全套接字)及其后继者Transport Layer Security(TLS,传输层安全协议)。https之所以比http安全你,是因为其协议中多了SSL/TLS。SSL/TLS是一种安全协议(又称密码协议),说白了就是在通信时对内容进行加密,防止被第三方直接截获和修改。

HTTPS协议由网景公司推出,用SSL加密,后来IETF将SSL进行标准化,1999年公布第一版TLS标准文件。

TLS协议的目的是在两个应用程序之间建立安全的连接,它与应用层无关。在http协议之前,“TLS协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。”具体过程看维基:https://zh.wikipedia.org/wiki/%E5%82%B3%E8%BC%B8%E5%B1%A4%E5%AE%89%E5%85%A8%E5%8D%94%E8%AD%B0#.E6.A6.82.E8.AB.96

回顾一下,OSI被划分为七层,但在软件通信的实践中它们被抽象为4个抽象层,采取协议堆栈的方式实现了不同的通信协议:

---------应用层

应用层  HTTP,HTTPS,FTP,SSH,TELNET...

表示层

会话层

---------传输层

传输层  TCPUDPTLS...

---------网络互联层

网络层  IP

----------网络接口层

数据链路层

物理层

 

以上是关于关于同源策略的主要内容,如果未能解决你的问题,请参考以下文章

关于Jsonp 跨域

关于客户端安全性,CORS 除了颠覆同源策略之外还有啥作用?

关于安全性问题:(XSS,csrf,cors,jsonp,同源策略)

web安全之同源策略

Chrome:禁用本地主机的同源策略

同源策略与 CORS 的用处