同源策略

同源策略限制了从不同源加载的文档或脚本之间的交互。是用于隔离潜在恶意文件的重要安全机制。

同源定义

影响源的因素: 域名(Host)、端口(Port)、协议(Protocol)

相对http://example.flexiblecat.com/dir/index.html同源检测的示例:
(默认端口为80)

URL 结果 原因
http://example.flexiblecat.com/dir/fine.html 成功
http://other.flexiblecat.com/dir/index.html 失败 不同域名
http://example.flexiblecat.com/dir/nice.html:81 失败 端口不同
https://example.flexiblecat.com/dir/cross.html 失败 协议不同

谁受约束?

DOM、Cookie、第三方插件以及XMLHttpRequest都受到同源策略的约束。

Cookie

只有同源的网页才能共享,但是若两个页面一级域名相同,只是二级域名不同,那么浏览器可以通过设置document.domain来共享Cookie。

这是网页A:http://a.flexiblecat.com/index.tml
这是网页B:http://b.flexiblecat.com/index.tml
只要把他们的document.domain设置成相同的,例如:document.domain='flexiblecat.com',这两个网页就可一共享Cookie啦~

不过这种方法只适用于Cookie和iframe窗口

XMLHttpRequest

它受到同源策略的约束,不能跨域访问资源,但是W3C委员会制定了XMLHttpRequest跨域访问标准。
通过目标返回的HTTP头来授权,是否允许跨域访问。实现这一点的安全基础是JavaScript无法控制HTTP头。

第三方插件

常见的有Flash、Google Gears等。第三方插件的同源策略是它们自己的,不是浏览器原生同源策略,若有漏洞,可能会被利用,产生XSS等攻击
同源策略并不是牢不可摧的,也可能被绕过,典型的有IE 8的CSS跨域漏洞。
这一个漏洞是利用@import加载企图被读取内容的页面A为CSS文件,渲染进入当前页面的DOM,然后通过document.body.currentStyle.frontFamily来访问页面A的内容。具体内容,感兴趣的话可以自行百度一下,也很好找。

要看一个网站的策略文件,一般都是URL后面加上/crossdomain.xml

谁不受限制?

一个页面编写过程中会用到很多很多的标签,勤勤恳恳认真坚守岗位的小螺丝钉们。但是可别小看他们,有的小螺丝钉可是不受同源策略的限制的哦~
例如:<script><img><link><iframe>等带src属性的标签;

为什么它们可以被允许跨域嵌入?

  • 首先,网站的JS脚本、图片、音频等资源不一定是放在存储网站页面的服务器上的,可能会通过别的方式将资源传送到浏览器中;
  • 其次,网站的编写人员正常情况下并不会故意加载恶意脚本到网站中,所以,我们默认正常网页的脚本是安全的;
  • 最后,对于当前页面来说,页面内加载的JS文件本身放在哪里并不重要,只要它被谁加载了,就和谁同源。例如:
    a.js这个JS文件,原本在x.com页面中,后来它被y.com这个页面加载了,这个时候,a.js就和y.com这个页面同源,而不是x.com。

跨域漏洞围观:
UC浏览器跨本地域XSS可盗取任意域Cookie https://www.secpulse.com/archives/16840.html
JSONP和CORS跨站跨域读取资源的漏洞利用 https://www.anquanke.com/post/id/152339


写在最后,这一块内容必须得了解一下,这是浏览器安全很重要的内容,没有它,你还敢用浏览器嘛!你的Cookie能被人随意取用,你的信息没有保障,怕是要上天哦。
关于W3C委员会制定的XMLHttpRequest跨域访问标准,感兴趣的话自己去查一下了解一下就行。

推荐阅读更多精彩内容