同源策略限制了从不同源加载的文档或脚本之间的交互。是用于隔离潜在恶意文件的重要安全机制。
同源定义
影响源的因素: 域名(Host)、端口(Port)、协议(Protocol)
相对http://example.flexiblecat.com/dir/index.html同源检测的示例:
(默认端口为80)
| URL | 结果 | 原因 |
|---|---|---|
http://example.flexiblecat.com/dir/fine.html |
成功 | |
http://other.flexiblecat.com/dir/index.html |
失败 | 不同域名 |
http://example.flexiblecat.com/dir/nice.html:81 |
失败 | 端口不同 |
https://example.flexiblecat.com/dir/cross.html |
失败 | 协议不同 |
谁受约束?
DOM、Cookie、第三方插件以及XMLHttpRequest都受到同源策略的约束。
Cookie
只有同源的网页才能共享,但是若两个页面一级域名相同,只是二级域名不同,那么浏览器可以通过设置document.domain来共享Cookie。
这是网页A:http://a.flexiblecat.com/index.tml
这是网页B:http://b.flexiblecat.com/index.tml
只要把他们的document.domain设置成相同的,例如:document.domain='flexiblecat.com',这两个网页就可一共享Cookie啦~
不过这种方法只适用于Cookie和iframe窗口
XMLHttpRequest
它受到同源策略的约束,不能跨域访问资源,但是W3C委员会制定了XMLHttpRequest跨域访问标准。
通过目标返回的HTTP头来授权,是否允许跨域访问。实现这一点的安全基础是JavaScript无法控制HTTP头。
第三方插件
常见的有Flash、Google Gears等。第三方插件的同源策略是它们自己的,不是浏览器原生同源策略,若有漏洞,可能会被利用,产生XSS等攻击
同源策略并不是牢不可摧的,也可能被绕过,典型的有IE 8的CSS跨域漏洞。
这一个漏洞是利用@import加载企图被读取内容的页面A为CSS文件,渲染进入当前页面的DOM,然后通过document.body.currentStyle.frontFamily来访问页面A的内容。具体内容,感兴趣的话可以自行百度一下,也很好找。
要看一个网站的策略文件,一般都是URL后面加上
/crossdomain.xml
谁不受限制?
一个页面编写过程中会用到很多很多的标签,勤勤恳恳认真坚守岗位的小螺丝钉们。但是可别小看他们,有的小螺丝钉可是不受同源策略的限制的哦~
例如:<script>、<img>、<link>、<iframe>等带src属性的标签;
为什么它们可以被允许跨域嵌入?
- 首先,网站的JS脚本、图片、音频等资源不一定是放在存储网站页面的服务器上的,可能会通过别的方式将资源传送到浏览器中;
- 其次,网站的编写人员正常情况下并不会故意加载恶意脚本到网站中,所以,我们默认正常网页的脚本是安全的;
- 最后,对于当前页面来说,页面内加载的JS文件本身放在哪里并不重要,只要它被谁加载了,就和谁同源。例如:
a.js这个JS文件,原本在x.com页面中,后来它被y.com这个页面加载了,这个时候,a.js就和y.com这个页面同源,而不是x.com。
跨域漏洞围观:
UC浏览器跨本地域XSS可盗取任意域Cookie https://www.secpulse.com/archives/16840.html
JSONP和CORS跨站跨域读取资源的漏洞利用 https://www.anquanke.com/post/id/152339
写在最后,这一块内容必须得了解一下,这是浏览器安全很重要的内容,没有它,你还敢用浏览器嘛!你的Cookie能被人随意取用,你的信息没有保障,怕是要上天哦。
关于W3C委员会制定的XMLHttpRequest跨域访问标准,感兴趣的话自己去查一下了解一下就行。
