跨域之同源策略 Same-origin policy
同源策略是瀏覽器中最基本的隔離潛在惡意文件的安全策略,他限制了來自不一樣源(origin)的文檔或腳本之間的相互做用。html
何謂同源
在跨域之URL中介紹過一個URL的標準格式以下:跨域
協議類型://服務器地址(必要時需加上端口號)/路徑/文件名瀏覽器
對比URL的標準格式,這裏的同源就是指:安全
- 協議類型相同(protocol)
- 服務器地址相同(host,也能夠叫域名相同)
- 端口相同(port,通常默認爲80)
下面是維基百科上的例子。服務器
假如一個URL爲http://www.example.com/dir/page.html,下表中列舉的URL與該URL的關係(Success表示同源,Failure表示不一樣源):dom
| Compared URL | Outcome | Reason |
|---|---|---|
| http://www.example.com/dir/page2.html | Success | Same protocol, host and port |
| http://www.example.com/dir2/other.html | Success | Same protocol, host and port |
| http://username:password@www.example.com/dir2/other.html | Success | Same protocol, host and port |
| http://www.example.com:81/dir/other.html | Failure | Same protocol and host but different port |
| https://www.example.com/dir/other.html | Failure | Different protocol |
| http://en.example.com/dir/other.html | Failure | Different host |
| http://example.com/dir/other.html | Failure | Different host (exact match required) |
| http://v2.www.example.com/dir/other.html | Failure | Different host (exact match required) |
| http://www.example.com:80/dir/other.html | Depends | Port explicit. Depends on implementation in browser. |
IE特例(摘自MDN)
在處理同源策略的問題上,IE存在兩個主要的不一樣之處。ide
授信範圍(Trust Zones):兩個相互之間高度互信的域名,如公司域名(corporate domains),不遵照同源策略的限制。端口:IE未將端口號加入到同源策略的組成部分之中,所以http://company.com:81/index.html 和http://company.com/index.html 屬於同源而且不受任何限制。
同源策略的限制
同源策略是爲了保證用戶信息的安全而設置的,若是兩個頁面不一樣源,他們在如下交互上受到限制(摘自瀏覽器同源政策及其規避方法):學習
- Cookie、LocalStorage 和 IndexDB 沒法讀取。
- DOM 沒法得到。
- AJAX 請求不能成功。
有些時候爲了實現某些需求,能夠使用一些特殊手段突破同源策略的限制,在以後的學習中再總結。ui
相關文章
- 1. 同源策略和跨域
- 2. 同源策略與跨域
- 3. 跨域(同源策略)
- 4. 跨域+同源策略
- 5. 同源策略及跨域
- 6. 同源策略 跨域
- 7. 同源策略 & 跨域
- 8. 同源策略和跨域訪問
- 9. JS同源策略和跨域訪問
- 10. 同源策略與跨域訪問
- 更多相關文章...
- • Redis內存回收策略 - Redis教程
- • 二級緩存的併發訪問策略和常用插件 - Hibernate教程
- • PHP Ajax 跨域問題最佳解決方案
- • 互聯網組織的未來:剖析GitHub員工的任性之源
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。