溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本文小編為大家詳細介紹“JavaWeb的同源策略是什么”,內容詳細,步驟清晰,細節處理妥當,希望這篇“JavaWeb的同源策略是什么”文章能幫助大家解決疑惑,下面跟著小編的思路慢慢深入,一起來學習新知識吧。
Java Web相關技術里的同源策略是一種瀏覽器安全功能,它限制由一個源加載的文檔或腳本,以訪問或與來自另一個源的文檔或腳本交互。源由協議、主機和端口組成。
例如,考慮以下 URL:
http://www.bjpowernode.com/
在上面的例子中,“http://”是協議,“bjpowernode.com”是主機,端口是“80”。
注意:默認情況下,網站使用端口 80。
同源策略是必要的,因為當瀏覽器從一個源向另一個源發送 HTTP 請求時,所有相關數據(即 cookie、身份驗證令牌、會話或任何相關數據)都會作為請求的一部分發送。如果其他來源是惡意的,它將能夠訪問受害用戶的所有信息。
如果沒有同源策略并且您訪問了惡意網站,它將能夠從您的社交網絡帳戶中讀取所有消息。
當兩個來源具有相同的協議、主機和端口時,就說它們是相同的。
當涉及兩個不同的來源時,瀏覽器將應用同源策略。
頁面無法訪問 iframe 中的內容,除非它們來自同一來源。
不允許使用 XMLHttpRequest。
來自特定站點的會話 Cookie 不能發送到具有不同來源的頁面。
注意:如果是 cookie,則不檢查協議和端口。僅檢查主機。
同源策略并不完全限制兩個源之間的交互。瀏覽器檢查兩個來源之間的交互是否構成威脅,如果不是,則允許交互。
同源策略加強了一些安全性,但不足以防止各種攻擊。他們之中有一些是:
跨站點請求偽造(CSRF)攻擊基本上利用了不同的來源。這就是為什么除了同源策略之外還應該使用反 CSRF 令牌的原因。
同源策略也可以防止跨站點腳本(XSS)攻擊,但為了防止它必須限制從外部源加載腳本,這可能會破壞 Web 應用程序的功能。
讀到這里,這篇“JavaWeb的同源策略是什么”文章已經介紹完畢,想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會,如果想了解更多相關內容的文章,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
