浏览器安全之同源策略

简介: 浏览器-安全策略

原文合集地址如下,有需要的朋友可以关注

本文地址

合集地址

同源策略

概念

浏览器的同源策略是一种安全机制,用于保护用户信息和防止恶意代码的执行。它是由浏览器实施的一组规则,限制了不同源(origin)的网页之间的交互。

同源是指两个网页具有相同的协议(protocol),主机(host)和端口号(port)。如果两个网页不满足同源条件,它们就属于不同的源,同源策略将应用。

同源策略的主要目标是防止恶意网页通过脚本等手段访问其他源的敏感数据,或者通过篡改其他源的网页内容来进行攻击。以下是同源策略的一些关键限制:

DOM访问限制

不同源的网页不能直接访问彼此的DOM元素,包括读取和修改。这意味着一个网页无法通过JavaScript获取另一个网页的内容,除非目标网页明确授权。

Cookie限制

同源策略阻止网页访问不属于自己源的Cookie。Cookie是用于在客户端存储和传输信息的机制,同源策略确保Cookie只能由创建它的源访问。

XMLHttpRequest限制

XMLHttpRequest(XHR)是用于在网页和服务器之间进行异步数据交换的技术。同源策略禁止不同源的网页通过XHR请求发送或接收数据。

跨文档消息限制

同源策略限制不同源的窗口或帧之间通过postMessage()方法进行通信。这可以防止恶意网页滥用通信渠道。

脚本限制

不同源的脚本文件(如JavaScript)不能相互引用和执行。

尽管同源策略提供了一定的安全保护,但也可能限制了某些合法的跨域交互。为了支持安全的跨域通信,浏览器引入了一些机制,如跨域资源共享(CORS)和跨文档消息机制(postMessage),允许网页在一些受控的条件下进行跨域交互。

在发起跨域请求时,浏览器干了些啥

当浏览器发起跨域请求时,它会执行以下步骤:

发送请求头

浏览器向目标服务器发送一个请求,其中包含了请求方法(GET、POST等)和请求的URL。

检查同源策略

浏览器会检查目标URL是否符合同源策略。它会比较目标URL的协议、主机和端口号与当前网页的协议、主机和端口号是否一致。如果不一致,就会触发跨域请求。

发送跨域请求

如果目标URL与当前网页不同源,浏览器会发送一个跨域请求。跨域请求通常是一个HTTP OPTIONS 预检请求(preflight request),用于检查目标服务器是否允许跨域请求。

服务器处理预检请求

目标服务器接收到预检请求后,会进行一系列的处理。它会检查请求中的一些特定头部信息,如OriginAccess-Control-Request-Method,来验证是否允许跨域请求。

发送响应头

如果服务器允许跨域请求,它会在响应中添加一些特定的头部信息,如Access-Control-Allow-OriginAccess-Control-Allow-Methods。这些头部信息告诉浏览器该请求是被允许的。

检查响应头

浏览器接收到服务器的响应后,会检查响应中的头部信息。它会查看Access-Control-Allow-Origin头部,判断是否允许当前网页进行跨域请求。

处理响应数据

如果服务器允许跨域请求,浏览器会将响应数据返回给发起请求的网页。否则,浏览器将拒绝访问响应数据,并在控制台中报错。

以上是跨域请求的基本流程。需要注意的是,跨域请求的处理还可能涉及其他一些情况,如带有凭据(credentials)的请求、特定的请求方法(如PUT、DELETE)等,这些都需要根据具体的场景进行处理。

解决跨域问题

在跨域问题中,解决的方法有以下几种:

跨域资源共享(CORS)

CORS 是一种在浏览器和服务器之间进行跨域通信的机制。通过在服务器端设置响应头信息,如 Access-Control-Allow-Origin,可以允许特定的源(或所有源)访问服务器资源。服务器可以设置允许跨域访问的源、请求方法和请求头等。

利用nginx对所有预检请求返回可跨域响应头

可以在 Nginx 的配置文件中添加相应的配置。以下是一个示例配置:

location / {
   
  if ($request_method = OPTIONS) {
   
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept';
    add_header 'Access-Control-Max-Age' 86400;
    return 204;
  }

  # 其他请求的处理配置...
}

在上述配置中,我们使用 location / 来匹配所有请求。当请求方法为 OPTIONS 时,即预检请求,我们通过 add_header 指令添加了一系列的响应头,包括允许的源 Access-Control-Allow-Origin、允许的方法 Access-Control-Allow-Methods、允许的请求头 Access-Control-Allow-Headers,以及预检结果的有效时间 Access-Control-Max-Age。然后通过 return 204 返回一个空响应体和状态码 204,表示成功处理预检请求。

请注意,将以上配置添加到 Nginx 配置文件中后,需要重新加载或重启 Nginx 服务才能生效。

这样配置后,Nginx 将对所有预检请求都返回相应的可跨域响应头,从而允许跨域请求。但请注意,这样的配置是开放性的,将允许任何源进行跨域请求,因此在生产环境中,应根据具体需求和安全考虑进行细化配置,以限制允许的源和请求头。

JSONP(JSON with Padding)

JSONP 是一种利用 <script> 标签进行跨域请求的方法。通过在目标服务器上动态生成一个包含回调函数的 JavaScript 脚本,然后将脚本作为响应返回给客户端。客户端在接收到脚本后,会执行回调函数并处理返回的数据。

代理服务器

使用代理服务器是一种常见的跨域解决方案。在同源策略限制下,浏览器无法直接访问不同源的资源,但可以通过同源的服务器作为代理来请求目标资源。客户端向同源的服务器发起请求,服务器再将请求转发到目标服务器,并将目标服务器的响应返回给客户端。

假设,使用nginx作为代理的方式来解决跨域问题,我的web应用端口在8080端口,我的服务端地址在8081端口,服务端的接口均以/api前缀开头,下面是一个示例的配置

server {
   
    listen 80;
    server_name your-domain.com;

    location /api {
   
        proxy_pass http://localhost:8081;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        # 可选配置,用于解决跨域请求的限制
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept';
    }

    location / {
   
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

iframe 通信

在同一个域名下,可以通过 iframe 元素实现不同页面之间的通信。通过在主页面嵌入一个隐藏的 iframe,将目标页面加载到 iframe 中,并通过在主页面和 iframe 页面之间使用 postMessage() 方法进行消息传递,从而实现跨域的数据交换。

WebSocket

WebSocket 是一种支持双向通信的网络协议,它在客户端和服务器之间建立持久的连接。WebSocket 不受同源策略的限制,因此可以在不同源的页面之间进行实时数据传输和通信。

这些方法中,CORS 是目前被广泛使用和推荐的跨域解决方案。它提供了更灵活和安全的机制来控制跨域访问,同时也是符合 Web 标准的方式。其他方法如 JSONP、代理服务器、iframe 通信和 WebSocket 则根据具体的需求和场景进行选择和使用。

目录
相关文章
|
6月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
3天前
|
存储 安全 JavaScript
浏览器的同源策略
【10月更文挑战第31天】浏览器的同源策略是浏览器安全模型的重要组成部分,它通过限制不同源之间的资源交互,有效地保护了用户和网站的安全。开发者在进行Web开发时,需要充分理解和遵循同源策略,同时合理地运用各种跨域技术来满足业务需求,确保网站的安全性和功能性的平衡。
12 2
|
2月前
|
Web App开发 缓存 安全
解决Edge浏览器提示“此网站已被人举报不安全”
【9月更文挑战第1天】当 Edge 浏览器提示“此网站被举报为不安全”时,可尝试:关闭 Microsoft Defender SmartScreen;检查网站安全性;清除缓存和 Cookie;更新 Edge 至最新版;或使用其他浏览器。若问题依旧,联系网站管理员和技术支持。同时,避免在不可信网站输入敏感信息,保护网络安全与隐私。
389 7
|
3月前
|
存储 缓存 安全
解决Edge浏览器提示“此网站已被人举报不安全”
【8月更文挑战第19天】如果Edge浏览器提示“此网站已被人举报不安全”,首先确认网站可信度及安全证书有效性,避免访问可疑网站。检查浏览器是否需要更新,并确保自动更新功能已开启。可暂时关闭Microsoft Defender SmartScreen(不建议长期关闭),清除缓存和Cookies,或检查第三方安全软件设置。若问题持续,考虑重置Edge浏览器设置,保留重要数据。如仍无法解决,联系网站管理员或微软支持。
345 7
|
5月前
|
安全 前端开发 JavaScript
CORS是W3C标准,解决浏览器同源策略限制的跨域数据访问。
【6月更文挑战第27天】CORS是W3C标准,解决浏览器同源策略限制的跨域数据访问。它通过服务器在HTTP响应头添加`Access-Control-Allow-*`字段允许特定源请求。简单请求无需预检,非简单请求会发OPTIONS预检请求。服务器配置CORS策略,客户端正常请求,浏览器自动处理。若未正确配置,浏览器将阻止响应,保障安全。
52 0
|
6月前
|
JavaScript 前端开发 安全
JavaScript DOM 操作:解释一下浏览器的同源策略。
**同源策略**是浏览器安全基石,它阻止脚本跨不同协议、域名或端口访问资源,防止恶意行为。例如,HTTP页面无法直接用JS获取HTTPS页面内容。**CORS**允许跨域请求,但需服务器配合设置,通过`document.domain`属性可配置,但仍受限于服务器配置。
50 4
|
6月前
|
存储 缓存 安全
浏览器中的安全沙箱
【1月更文挑战第3天】
|
6月前
|
JavaScript 前端开发 Go
浏览器中的同源策略
【1月更文挑战第2天】
|
Web App开发 前端开发 JavaScript
让谷歌浏览器不再显示不安全内容的提示
让谷歌浏览器不再显示不安全内容的提示
337 0
|
安全 算法 网络协议
浏览器基础原理-安全: HTTPS
浏览器基础原理-安全: HTTPS
83 0

热门文章

最新文章