前端培訓-中級階段(10)- 同源策略(2019-08-15期)

原創 linong 2019-07-19 11:45

前端最基礎的就是 HTML+CSS+Javascript。掌握了這三門技術就算入門,但也僅僅是入門,現在前端開發的定義已經遠遠不止這些。前端小課堂(HTML/CSS/JS),本着提升技術水平,打牢基礎知識的中心思想,我們開課啦(每週四)。

同源策略是什麼?

同源策略是瀏覽器的一個安全功能,不同源的數據禁止訪問。
所以 lilnong.top 下的 ajax 訪問 51vv.com 數據是會報錯。(network 可以看到 response,證明限制是瀏覽器方的限制)
clipboard.png

當然,也有例外

  1. 表單提交、鏈接
    這些項等同於切換頁面

  2. script標籤的src、link標籤的href、img標籤的src、iframe標籤的src
    上述的資源可以引用,但是不可獲取內容。

    1. img 可以顯示出來,但是你無法放入canvas二次使用,會把canvas的源污染。
    2. iframe 可以顯示,不可以獲取DOM
    3. script 不可獲取報錯代碼位置。

同源的定義

端口域名協議 都相同,定義爲同源
針對http://www.lilnong.top/static這個地址來說。端口(80),域名(www.lilnong.top),協議(http

URL 端口 域名 協議 描述
https://www.lilnong.top 80 www.lilnong.top https 協議不同,不同源
http://lilnong.top 80 lilnong.top http 域名不同,不同源
http://lilnong.top:8080 8080 lilnong.top http 域名不同,端口不同,不同源
http://www.lilnong.top:8080 8080 www.lilnong.top http 端口不同,不同源
http://www.lilnong.top/ 80 www.lilnong.top http 同源
http://www.51vv.com 80 www.51vv.com http 域名不同,不同源

爲什麼要有同源策略

  1. 安全問題
    例子1:普通的網絡用戶,不會去記域名等內容。如果我在我自己的頁面內,嵌套一個<iframe src="taobao.com">並把他放大,不就和淘寶一模一樣了?並且還會有淘寶的狀態信息
    這時候我們可以獲取用戶的密碼、給用戶創建訂單、註銷用戶的賬戶等等有危害性的操作。
    例子2:領導說要一個騰訊新聞。嗯好,我們<iframe src="news.qq.com">放大自適應。
    這時候,我們可以加點小廣告,截獲一些用戶操作。分分鐘不花錢。得到了一個騰訊新聞。

  2. 數據歸屬問題

    1. 大家都知道爬蟲吧。想起來前幾天在思否看到的頭條(“飯友”APP 未經許可抓取微博數據,被判賠償210萬)。
      如果說沒有同源策略,飯友直接 ajax 拉取微博數據。或許你可以說 referer 驗證,在瀏覽器沒有同源策略的情況下這些都可以繞過去。
      微博方看到的就是一個正常的微博用戶,正常的ip,訪問了他們的接口。
      那麼爬蟲呢?爬蟲是主動觸發的操作,是他們使用他們的ip,僞造成一個合理的用戶,去抓取數據。

總結

同源策略是蠻好的,防禦了大部分的攻擊。但是合理是合理,一些特殊情況下我們也是要繞過這個策略,下節我們講跨域。

微信公衆號:前端linong

clipboard.png

初級階段文章目錄

  1. 前端培訓-初級階段(17) - 數據存儲(cookie、session、stroage)
  2. 前端培訓-初級階段(13) - 正則表達式
  3. 前端培訓-初級階段(13) - 類、模塊、繼承
  4. 前端培訓-初級階段(13) - ECMAScript (內置對象、函數)
  5. 前端培訓-初級階段(13) - ECMAScript (語法、變量、值、類型、運算符、語句)
  6. 前端培訓-初級階段(13、18)
  7. 前端培訓-初級階段(9 -12)
  8. 前端培訓-初級階段(5 - 8)
  9. 前端培訓-初級階段(1 - 4)

中級階段文章目錄

  1. 前端培訓-中級階段(2) - 事件(event) 事件冒泡、捕獲 - (2019-06-20期)
  2. 前端培訓-中級階段(3) - DOM 文檔對象模型(2019-06-27期)
  3. 前端培訓-中級階段(4)- BOM 瀏覽器對象模型(2019-07-04期)
  4. 前端培訓-中級階段(5)- jQuery的概念與基本使用(2019-07-11期)
  5. 前端培訓-中級階段(6)- jQuery元素節點操作(2019-07-18期)
  6. 前端培訓-中級階段(7)- jQuery的事件綁定鏈式操作及原理(2019-07-25期)
  7. 前端培訓-中級階段(8)- jQuery元素屬性樣式操作(2019-08-01期)
  8. 前端培訓-中級階段(9)- 原生Ajax的運行原理與實現(2019-08-08期)

資料

  1. 前端培訓目錄、前端培訓規劃、前端培訓計劃
  2. 瀏覽器同源策略及跨域的解決方法
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(二)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-17 12:21:26

前端面試題 - Node JS與V8是什麼關係?

前端面試題 - Node JS與V8是什麼關係? V8 引擎是 Node.js 的核心組成部分,負責執行 JavaScript 代碼, 而 Node.js 爲 V8 提供了一個運行環境和API,使其能夠在服務器端運行。 通俗易懂的前端面試題

原創 2024-05-16 12:41:41

前端面試題 - V8是什麼?

前端面試題 - V8是什麼? V8 是一個JavaScript引擎,能將JavaScript代碼直接編譯成本地平臺的機器碼並執行。 通俗易懂的前端面試題網站: https://www.front-interview.com

原創 2024-05-16 12:41:40

Visual C++界面開發組件Xtreme Toolkit Pro v24測試版發佈——完全支持SVG

Codejock軟件公司的Xtreme Toolkit Pro是屢獲殊榮的VC界面庫,是MFC開發中最全面界面控件套包,它提供了Windows開發所需要的11種主流的Visual C++ MFC控件,包括Command Bars、Contr

原創 2024-05-16 12:19:55

SharePoint Online 客製化開發:如何使用CSS更改網站主題背景顏色?

一般情況下公司爲了某個團隊或者公司內部共享數據等用途來更改網站的樣式,打造獨特的品牌樣式,很多研發工程師給定的解決方案是爲他們的站點構建自定義主頁,雖然SharePoint Designer是一個強大的工具,但這裏我不推薦使用ShareP

osc_w6noy934 2024-05-14 02:00:35

Python爬蟲進階必備 | MD5 hash 案例解析彙總(一)

上次鹹魚對關於 MD5 hash 的JS加密方法做了總結,這次把鹹魚遇到的 MD5 hash 的案例做了彙總,這個彙總系列會持續更新,攢到一定數量的網站就發一次。 關於 MD5 HASH 的處理可以參考下面這篇文章: Python爬蟲進

osc_hzf6peqc 2024-05-14 01:40:15

Html 的生命週期

零、序言   vue 用多了,自然離不開生命週期。最近突發奇想,加上之前看過的文章中關於 script 標籤中的 async 和 defer 的搗糨糊,決定整理一下,攻克這個模糊點。   當然,最多的還是與 script 標籤相關的前兩個

osc_27sxxx5r 2024-05-13 23:34:32

[js] 寫一個格式化時間的方法

[js] 寫一個格式化時間的方法 function dateToString(date, format = 'yyyy-MM-dd') { const d = new Date(date); let result = format

osc_6mbnx553 2024-05-13 22:07:18

cheerp 編譯器之通用計算模塊ccm1

cheerp 通用計算模塊(ccm1) 是基於cheerp 編譯器發射出平臺格式無關的wasm中間代碼,在不同宿主之內運行的一種模塊化方式。 0x1. 不同宿主的相同代碼實現 ccm1 的一般宿主是c++實現,不同平臺編譯引用就可以,目

原創 2024-05-12 21:53:46

通義靈碼企業版正式發佈,滿足企業私域知識檢索、數據合規、統一管理等需求

5 月 9 日阿里雲 AI 峯會,阿里雲智能集團首席技術官周靖人宣佈,通義靈碼企業版正式發佈,滿足企業用戶的定製化需求,幫助企業提升研發效率。 通義靈碼是國內用戶規模第一的智能編碼助手,基於 SOTA 水準的通義千問代碼模型 Code-Qw

原創 2024-05-11 21:15:01

Python 爬蟲:Spring Boot 反爬蟲的成功案例

前言 在當今數字化時代,網絡數據成爲了信息獲取和分析的重要來源之一。然而,隨着網絡數據的廣泛應用,爬蟲技術也逐漸成爲了互聯網行業的熱門話題。爬蟲技術的應用不僅可以幫助企業獲取有價值的信息,還可以用於數據分析、市場研究等領域。然而,隨着爬

原創 2024-05-07 23:26:04

我們團隊來了一位新同事,主動要求幫忙敲代碼!歡迎 AI 001號

通義靈碼|7X24的AI智能編程助手 工號:AI001 他叫通義靈碼,一個硅基生命。出生在0101星球,沒有性別,但有人格類型。 他是INTJ,建築師型人格,艾薩克·牛頓和甘道夫同款。 他會寫一點代碼,但不如我們會得多。我看了下他的簡歷,

原創 2024-05-07 21:12:06

界面控件DevExtreme v23.1、v23.2盤點 - 增強的TypeScript(Angular、React、Vue)

DevExtreme擁有高性能的HTML5 / JavaScript小部件集合,使您可以利用現代Web開發堆棧(包括React,Angular,ASP.NET Core,jQuery,Knockout等)構建交互式的Web應用程序。從Ang

原創 2024-05-07 11:34:56

界面組件DevExpress中文教程 - 如何在Node.js應用中創建報表?

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 獲取Dev

原創 2024-04-30 11:36:22

ArkTS開發原生鴻蒙HarmonyOS短視頻應用

HarmonyOS實戰課程“2024鴻蒙零基礎快速實戰-仿抖音App開發(ArkTS版)”已經於今日上線至慕課網(https://coding.imooc.com/class/843.html),有致力於鴻蒙生態開發的同學們可以關注一下。

原創 2024-04-29 23:07:45