同源策略
为了保证浏览器的安全,只允许本域名下的接口交互。如果不同源,并且没有授权,无法读写对方的资源。
https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy
一、什么是同源?
Web内容的源由用于访问它的URL 的方案(协议),主机(主机名和域名)和端口定义。只有当方案,主机和端口都匹配时,两个对象具有相同的起源。
二、什么是同源策略?
同源策略是一个重要的安全策略,它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
三、跨域资源的访问
【1】设置document.domain解决无法读取非同源网页的 Cookie问题
因为浏览器是通过document.domain属性来检查两个页面是否同源,因此只要通过设置相同的document.domain,两个页面就可以共享Cookie(此方案仅限主域相同,子域不同的跨域应用场景。)
1
2
|
document.domain = 'test.com';
|
【2】跨文档通信 API:window.postMessage()
调用postMessage方法实现父窗口http://test1.com向子窗口http://test2.com发消息(子窗口同样可以通过该方法发送消息给父窗口)
它可用于解决以下方面的问题:
- 页面和其打开的新窗口的数据传递
- 多窗口之间消息传递
- 页面与嵌套的iframe消息传递
- 上面三个场景的跨域数据传递
1
2
3
4
|
var openWindow = window.open('http://test2.com', 'title');
openWindow.postMessage('Nice to meet you!', 'http://test2.com');
|
调用message事件,监听对方发送的消息
1
2
3
4
5
6
|
window.addEventListener('message', function (e) {
console.log(e.source);
console.log(e.origin);
console.log(e.data);
},false);
|
【3】JSONP
JSONP 是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,兼容性好(兼容低版本IE),缺点是只支持get请求,不支持post请求。
核心思想:网页通过添加一个<script>元素,向服务器请求 JSON 数据,服务器收到请求后,将数据放在一个指定名字的回调函数的参数位置传回来。
①原生实现:
1
2
3
4
5
6
7
8
| <script src="http://test.com/data.php?callback=dosomething"></script>
// 向服务器test.com发出请求,该请求的查询字符串有一个callback参数,用来指定回调函数的名字
// 处理服务器返回回调函数的数据
<script type="text/javascript">
function dosomething(res){
console.log(res.data)
}
</script>
|
② jQuery ajax:
1
2
3
4
5
6
7
| $.ajax({
url: 'http://www.test.com:8080/login',
type: 'get',
dataType: 'jsonp',
jsonpCallback: "handleCallback",
data: {}
});
|
③ Vue.js
1
2
3
4
5
6
| this.$http.jsonp('http://www.domain2.com:8080/login', {
params: {},
jsonp: 'handleCallback'
}).then((res) => {
console.log(res);
})
|
【4】CORS
CORS 是跨域资源分享(Cross-Origin Resource Sharing)的缩写。它是 W3C 标准,属于跨源 AJAX 请求的根本解决方法。
1、普通跨域请求:只需服务器端设置Access-Control-Allow-Origin
2、带cookie跨域请求:前后端都需要进行设置
【前端设置】根据xhr.withCredentials字段判断是否带有cookie
①原生ajax
1
2
3
4
5
6
7
8
9
10
11
| var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText);
}
};
|
② jQuery ajax
1
2
3
4
5
6
7
8
9
| $.ajax({
url: 'http://www.test.com:8080/login',
type: 'get',
data: {},
xhrFields: {
withCredentials: true
},
crossDomain: true,
});
|
③vue-resource
1
| Vue.http.options.credentials = true
|
④ axios
1
| axios.defaults.withCredentials = true
|
【服务端设置】
服务器端对于CORS的支持,主要是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。
① Java后台
1
2
3
4
5
6
7
8
9
10
|
response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
|
② Nodejs后台
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var postData = '';
req.addListener('data', function(chunk) {
postData += chunk;
});
req.addListener('end', function() {
postData = qs.parse(postData);
res.writeHead(200, {
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'http://www.domain1.com',
'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'
});
res.write(JSON.stringify(postData));
res.end();
});
});
server.listen('8080');
console.log('Server is running at port 8080...');
|
③ PHP后台
1
2
| <?php
header("Access-Control-Allow-Origin:*");
|
④ Apache需要使用mod_headers模块来激活HTTP头的设置,它默认是激活的。你只需要在Apache配置文件的, , 或的配置里加入以下内容即可
1
| Header set Access-Control-Allow-Origin *
|
Content Security PolicyCSP
https://developers.google.com/web/fundamentals/security/csp
官方协议文档:https://html.spec.whatwg.org/multipage/origin.html#sandboxing
上一篇:SQL注入漏洞
下一篇:CSRF
