浏览器的同源策略笔记

發表於 2017-07-02   |   分類於 信息安全   |  

前言

之前在面试中遇到一个问题是有关同源策略三要素的,于是回头查询了一下。

同源策略

同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。

同源定义

同源策略三要素

  1. 协议
  2. 端口
  3. 域名

尤其是域名的限制,包括二级域名。

如果协议,端口(如果指定了一个)和域名对于两个页面是相同的,则两个页面具有相同的源。

同源策略检查的时机
This policy affects anything that does same-origin checks, including XMLHttpRequest, XSLT, and XBL.

参考资料

MDN文档
https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

#Web安全 #JavaScript
Animal Farm 中的创业史
Web for Pentester LDAP漏洞