同源策略与跨域访问(jsonp和cors等)

本文涉及的产品
.cn 域名,1个 12个月
简介: 同源策略与跨域访问(jsonp和cors等)

同源策略

同源策略(Same Origin Policy,简称SOP)由 Netscape 公司 1995 年引入浏览器,是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略,限制了来自不同源的“document”或脚本,对当前的“document”读取或设置某些属性。


浏览器将不同的根域名、子域名、端口、协议认为是不同的域。由于浏览器安全限制,数据是不可以直接跨域请求的,除非目标域名授权你可以访问。

跨域访问

  • 通常允许跨域写操作(Cross-origin writes)
  • 链接(links)
  • 重定向(Redirect)
  • 表单提交
  • 通常允许跨域资源嵌入(Cross-origin embedding)
  • 通常不允许跨域读操作(Cross-origin reads)

跨域资源嵌入

可能嵌入跨域资源的一些示例:

<link rel="stylesheet" href="..."> 标签嵌入CSS。href可以认为是浏览器发起跨域请求获得,由于CSS的松散的语法规则,CSS的跨域需要一个设置正确的Content-Type 消息头。

<img> 、<video> 、 <audio> 嵌入多媒体资源。

<object> 、<embed> 和 <applet> 的插件。

@font-face 引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。

<frame> 和 <iframe> 载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。 可能引发点击劫持:网络安全-点击劫持(ClickJacking)的原理、攻击及防御

跨源脚本API访问

Javascript的APIs中,如 iframe.contentWindow , window.parent, window.open 和 window.opener 允许文档间相互引用。当两个文档的源不同时,这些引用方式将对 window 和 location 对象的访问添加限制。

window 允许跨源访问的方法有


window.blur

window.close

window.focus

window.postMessage

window 允许跨源访问的属性有


window.closed

window.frames

window.length

window.location

window.opener

window.parent

window.self

window.top

window.window

其中 window.location 允许读/写,其他的属性只允许读

JSONP

jsonp是使用方法回调的原理。在网页里,你如果引入其他网页的js,那这个页面的js是可以调用你网页的代码的。JSONP实现跨域请求的原理简单的说,就是动态创建<script>标签,然后利用<script>的src不受同源策略约束来跨域获取数据。获取到的跨域数据传入callback参数指定的回调函数中进行处理。

实例

服务端

jsonp.php

<?php
header('Content-type: application/json');
//获取回调函数名
$jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback']);
//json数据
$json_data = '["lady","killer9"]';
//输出jsonp格式的数据
echo $jsoncallback . "(" . $json_data . ")";
?>

获取函数名,返回jsonp格式数据

客户端

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>JSONP 实例</title>
</head>
<body>
<div id="divCustomers"></div>
<script type="text/javascript">
function callbackFunction(result)
{
    var html = '<ul>';
    for(var i = 0; i < result.length; i++)
    {
        html += '<li>' + result[i] + '</li>';
    }
    html += '</ul>';
    document.getElementById('divCustomers').innerHTML = html;
}
</script>
<script type="text/javascript" src="http://localhost/jsonp.php?jsoncallback=callbackFunction"></script>
</body>
</html>

客户端声明函数, 将函数名传过去。服务端返回数据,客户端运行js代码 callback(['lady','killer9']),显示结果。

结果


2020062310470442.png

JSONP安全问题

攻击场景:

  • 当对传入/传回参数没有做校验就直接执行返回的时候,会造成XSS问题。
  • 没有做Referer或Token校验就给出数据的时候,可能会造成数据泄露。
  • 在没有设置callback函数的白名单情况下,可以合法的做一些设计之外的函数调用,引入问题。这种攻击也被称为SOME攻击。

结合CSRF:知道创宇-jsonp劫持分析

防御:

  • 检测referer
  • 使用token让攻击者对接口未知
  • 使用CORS代替jsonp

CORS

CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种允许当前域(domain)的资源(html/js/web service)被其他域(domain)的脚本请求访问的机制,是一个W3C标准,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。

简单模型

下列请求为简单模型:

  • HEAD
  • GET
  • POST

post数据格式有限制,只支持‘text/plain','application/x-www-urlencoded'and'multipart/form-data'


对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。


(1)Access-Control-Allow-Origin


该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。


(2)Access-Control-Allow-Credentials


该字段可选的。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。


(3)Access-Control-Expose-Headers


该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

协商模型/预检请求

请求方法为PUT或Content-Type字段的类型是application/json。


除了Origin字段,"预检"请求的头信息包括两个特殊字段。


(1)Access-Control-Request-Method


该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法。


(2)Access-Control-Request-Headers


该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。

响应

除了Access-Control-Allow-Credentials,还有:


(1)Access-Control-Allow-Headers


表明它允许跨域请求包含content-type头


(2)Access-Control-Allow-Methods


表明它允许的外域请求。


(3)Access-Control-Max-Age


该字段可选,用来指定本次预检请求的有效期,单位为秒。例如,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。


一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

CORS的安全问题

目前解决跨域的标准方案 Access-Control-Allow-Origin和Access-Control-Allow-Credentials配置不当会导致信息泄露


简单请求, GET, POST, HEAD (content-type: x-www-form-urlencoded, multipart/form-data、text/plain)


分为简单请求(simple request)和非简单请求(not-so-simple request)简单请求,就是在头信息之中,增加一个Origin字段说明此跨域请求来自哪个域,如果请求的服务器返回Access-Control-Allow-Origin满足该域则可返回资源


其实还有其他的限制origin的东西


CORS与JSONP的使用目的相同,但是比JSONP更强大。JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

WebSocket

利用websocket来实现通信,因为websocket协议没有同源策略的限制。

参考

JSONP教程

web安全笔记-同源策略

更多内容查看:网络安全-自学笔记

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。


相关文章
|
2月前
|
JSON 安全 前端开发
浅析CORS跨域漏洞与JSONP劫持
浅析CORS跨域漏洞与JSONP劫持
81 3
|
8天前
|
开发框架 中间件 Java
如何处理跨域资源共享(CORS)的 OPTIONS 请求?
处理 CORS 的 OPTIONS 请求的关键是正确设置响应头,以告知浏览器是否允许跨域请求以及允许的具体条件。根据所使用的服务器端技术和框架,可以选择相应的方法来实现对 OPTIONS 请求的处理,从而确保跨域资源共享的正常进行。
|
8天前
|
JavaScript 前端开发 API
跨域资源共享(CORS)的工作原理是什么?
跨域资源共享(CORS)通过浏览器和服务器之间的这种交互机制,在保证安全性的前提下,实现了跨域资源的访问,使得不同源的网页能够合法地获取和共享服务器端的资源,为现代Web应用的开发提供了更大的灵活性和扩展性。
|
22天前
|
JSON 前端开发 安全
CORS 是什么?它是如何解决跨域问题的?
【10月更文挑战第20天】CORS 是一种通过服务器端配置和浏览器端协商来解决跨域问题的机制。它为跨域资源共享提供了一种规范和有效的方法,使得前端开发人员能够更加方便地进行跨域数据交互。
|
1月前
|
缓存 前端开发 应用服务中间件
CORS跨域+Nginx配置、Apache配置
CORS跨域+Nginx配置、Apache配置
131 7
|
2月前
|
安全
CORS 跨域资源共享的实现原理
CORS 跨域资源共享的实现原理
|
5月前
|
前端开发 安全 JavaScript
Spring Boot2 系列教程(十四)CORS 解决跨域问题
Spring Boot2 系列教程(十四)CORS 解决跨域问题
|
3月前
|
Web App开发 JSON 数据格式
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)
|
3月前
|
API
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
|
3月前
|
安全 前端开发 Java
Web端系统开发解决跨域问题——以Java SpringBoot框架配置Cors为例
在Web安全上下文中,源(Origin)是指一个URL的协议、域名和端口号的组合。这三个部分共同定义了资源的来源,浏览器会根据这些信息来判断两个资源是否属于同一源。例如,https://www.example.com:443和http://www.example.com虽然域名相同,但由于协议和端口号不同,它们被视为不同的源。同源(Same-Origin)是指两个URL的协议、域名和端口号完全相同。只有当这些条件都满足时,浏览器才认为这两个资源来自同一源,从而允许它们之间的交互操作。
Web端系统开发解决跨域问题——以Java SpringBoot框架配置Cors为例