跨域:简述"跨域"的概念与造成原因

跨域:简述"跨域"的概念与造成原因


  1. 跨域:简述"跨域"的概念与造成原因
  2. 跨域:简述"跨域"的几种常见解决方案

一、什么是跨域?


当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作"跨域"。

注意

  1. 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。
  2. 如果是协议和端口造成的跨域问题“前台”是无能为力的。
  3. 在跨域问题上,域仅仅是通过“URL的首部”来识别而不会根据域名对应的IP地址是否相同来判断。“URL的首部”可以理解为“协议, 域名和端口必须匹配”。
  4. 有三个标签(带"src"属性)是允许跨域加载资源:< img src=XXX> ;< link href=XXX> ;< script src=XXX>

二、造成跨域的两种策略

浏览器的同源策略是一个用于隔离潜在恶意文件的关键的安全机制。它的存在可以保护用户隐私信息,防止身份伪造等(读取Cookie),但是会导致跨域,这里同源策略又分为以下两种:

  1. DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。
  2. XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。

三、跨域限制的原因

跨域限制主要是为了安全考虑。

  1. AJAX同源策略主要用来防止CSRF攻击

如果没有AJAX同源策略,相当危险,我们发起的每一次HTTP请求都会带上请求地址对应的cookie,那么可以做如下攻击:

1 > . 用户登录了自己的银行页面 《http://mybank.com》 ,《http://mybank.com》向用户的cookie中添加用户标识。
2 > .用户浏览了恶意页面 《http://evil.com》。执行了页面中的恶意AJAX请求代码。《http://evil.com》 向《http://mybank.com》 发起恶意AJAX HTTP请求,请求会默认把《http://mybank.com》对应cookie也同时发送过去。银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。而且由于Ajax在后台执行,用户无法感知这一过程。

  1. DOM同源策略也是用来防止CSRF攻击

如果iframe之间可以跨域访问,可以这样攻击:做一个假网站,里面用iframe嵌套一个银行网站 《http://mybank.com》。把iframe宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没有任何差别。这时如果用户输入账号密码,我们的主网站可以跨域访问到《http://mybank.com》的dom节点,就可以拿到用户的输入了,那么就完成了一次攻击。

所以说有了跨域跨域限制之后,我们才能更安全的上网了。

©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页