我知道同源策略是关于限制其他域的 javascript 访问页面内容。
我在网上读到了同源政策的这些特别重要的要点:
XmlHttpRequests:如果跨域完成,它们将不起作用。但为什么网页首先会向不太受信任的站点发出 xhr 请求呢?难道不是网页的错吗?那为什么要施加限制呢?
cookie:如果恶意页面可以查看我的 Facebook cookie,这是不对的。因此,如果它尝试检查“document.cookies”,它永远不会看到我的 Facebook cookie。同样的政策在哪里出现?
跨页面通信:在选项卡中打开的恶意页面可以查看有关另一个页面的信息的唯一方法是通过 cookie 和/或本地存储。那么同源政策在这里有什么帮助呢?
XmlHttp请求
例如:停止你的网站 using 我的浏览器 to get my data from 我银行的当我的浏览器登录我的银行时的网站。
cookies
同源政策不适用于 cookie。 Cookie 只是发送到它们注册的网站。
跨页面通信:在选项卡中打开的恶意页面可以查看有关另一个页面的信息的唯一方法是通过 cookie 和/或本地存储。那么同源政策在这里有什么帮助呢?
你是在错误的观念下运作的。也可以通过以下方式访问其他页面window.open和框架(包括 iframe)。
一旦您有权访问另一个页面的 DOM,您就可以从中获取数据,并且您会遇到与 XHR 将其他网站暴露给 JavaScript 相同的问题。因此,同源策略通过框架锁定对远程文档的访问。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
