同源策略

本文来自于公众号链接： 彻底理解浏览器同源策略SOP ) 多种认证方式的优先级问题，如何杜绝冲突的问题 两个示例的描述不清晰的问题 这是一篇理论和实战相结合的干货文章，建议手机阅读者收藏本文，然后使用电脑下载源码进行实战 大纲： 一.概述 二.源码 三.示例1：接口分多组，每组认证方式不同 四.示例2：同组接口同时支持多种认证 五.总结 六.参考 一.概述 很多朋友虽然使用Spring Security做过很多项目，但是总是感觉没有理解和掌握Spring Security的核心思想。Spring Security比Shiro更强大更灵活的同时，确实带来了一定的复杂性。然而这种复杂性并不是因为Spring Security设计得不好造成的，而是因为安全需求本身就像一团乱麻一样错综复杂，Spring Security成功地将这团乱麻梳理柔顺后呈现给代价。在解决复杂安全问题场景下，Spring Security已经足够简洁了，我们更应该关注Spring Security的灵活性。 认证、鉴权和漏洞防御是安全框架的核心功能。Spring Security的认证功能强大并且非常灵活，支持的认证方式也在不断地水平扩展，已经预置了非常多的认证方式，如： Form认证 最常用的（用户名/密码）认证方式及其变体，如（手机号/验证码） 插图：用户名密码 HTTP BASIC认证 插图：浏览器弹出框

面试官: 能不能说一下你对跨域的理解吗? 我: 能, 首先呢,跨域的定义是: ajax请求的地址与当前地址不同源就称为跨域, 其次:跨域一般出现需要请求其他服务器的数据的时候, 使用场景有银行付钱 下面是跨域的详细讲解: 1.产生跨域的原因: 浏览器存在同源策略 1.1 同源策略是什么: 协议名 端口号 主机名一致 1.2 浏览器存在同源策略是为了保护用户电脑的安全,如果不同源,浏览器会认为你的电脑被植入代码和被攻击了 2.ajax请求才会产生跨域问题 来源： CSDN 作者： 兰羽馨 链接： https://blog.csdn.net/weixin_42139781/article/details/103762693

同源策略和跨域解决方案 同源策略 一个源的定义 如果两个页面的协议，端口（如果有指定）和域名都相同，则两个页面具有相同的 源 。 举个例子： 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL 结果 原因 http://a.xyz.com/dir2/other.html 成功 http://a.xyz.com/dir/inner/another.html 成功 https://a.xyz.com/secure.html 失败 不同协议 ( https和http ) http://a.xyz.com:81/dir/etc.html 失败 不同端口 ( 81和80) http://a.opq.com/dir/other.html 失败 不同域名 ( xyz和opq) 同源策略是什么 同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 不受同源策略限制的 1. 页面中的链接，重定向以及表单提交是不会受到同源策略限制的。 2. 跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的

同源策略 一个源的定义 如果两个页面的协议，端口（如果有指定）和域名都相同，则两个页面具有相同的 源 。 举个例子： 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL 结果 原因 http://a.xyz.com/dir2/other.html 成功 http://a.xyz.com/dir/inner/another.html 成功 https://a.xyz.com/secure.html 失败 不同协议 ( https和http ) http://a.xyz.com:81/dir/etc.html 失败 不同端口 ( 81和80) http://a.opq.com/dir/other.html 失败 不同域名 ( xyz和opq) 同源策略是什么 同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 不受同源策略限制的 1. 页面中的链接，重定向以及表单提交是不会受到同源策略限制的。 2. 跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源。也就是说如果协议，域名，或者端口有一个不同就是跨域。 那么为什么要用跨域？ 其实是因为浏览器出于安全考虑，我们都知道浏览器有同源策略。如果没有同源策略的情况下，A网站可以被任意来源的Ajax访问到内容，如果当前A网站还处于登录态，那么对方就可以通过Ajax获得A网站的任何消息。当然跨域可以用来房子CSRF攻击，但是并不能完全阻止CSRF。 为什么跨域并不能完全阻止CSRF攻击呢？举个例子： 当请求跨域了，请求是必然发出去的，只是浏览器拦截了响应。你可能会疑问明明通过表单的方式可以发起跨域请求，为什么 Ajax 就不会。因为归根结底，跨域是为了阻止用户读取到另一个域名下的内容，Ajax 可以获取响应，浏览器认为这不安全，所以拦截了响应。但是表单并不会获取新的内容，所以可以发起跨域请求。所以跨域并不能完全阻止 CSRF，因为请求毕竟是发出去了。 上面讲到同源策略，那什么是同源策略呢？ 同源策略（SOP）是一种约定，它是浏览器最核心也是最基本的安全功能。浏览器如果缺少同源策略，就会很容易收到xss，csrf等攻击。所谓同源是指“协议+域名+端口”三者相同，即便两个不同的域名指向同一个IP地址，也非同源。 下面来说一下几种方案来解决跨域问题 跨域的方案有： 1、通过jsonp跨域； 2、postMessage跨域； 3、跨域资源共享

背景： 同源策略：NetSpace公司引入，基于浏览器安全，防止浏览器收到XSS、CSFR等攻击。同源，即协议+域名+端口完全一致。 同源策略：为保障用户信息安全，防止恶意网站窃取数据的一种安全策略。 *** “同源”：协议相同、域名相同、端口号相同 同源策略限制的行为： Cookie、LocalStorage和IndexDB无法读取 DOM和JS对象无法获取 Ajax请求不能发送 解决方案： 方案一：JSONP 原理：通过script标签引入的js不受同源策略的限制，而XmlHttpRequest对象受到同源策略的影响。可以加载跨域服务器上的脚本，用JSONP获取的不是JSON数据，而是可以直接运行的JS脚本。 eg1:jquery function jsonpCallback(data) { console.log("jsonpCallback: " + data.name) } $.ajax({ url:"http://www.nanhuaqiushui.com:8080/login", type:"get", dataType:"jsonp", data:{ name: $("#name").val(), id: $("#id").val() }, cache: false, timeout: 5000, jsonp: "callback", /

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 所谓“同源策略”就是，www.aaa.com域名下的代码不能向www.bbb.com域发出ajax、cookie请求，不能修改其dom，因为它们域名不同，事实上“ 协议+域名+端口号 ”三项中任意一项不同都会被拦截。这是一种浏览器的安全策略，初期刚入行的我对此产生了巨大的困惑：这安全策略到底是保护了谁的安全？是怎么保护的？为什么又有CORS这种官方的绕过“同源策略”的方法？ 现在理解，它是直接保护的浏览页面的终端用户，也就是普通上网的人，间接保护的网站和浏览器自身。这怎么说呢？浏览器就好像一个大型商场，一个个web网站就是商场的常驻店铺，普通上网的人就是逛商场的人。每个网站都含有大量请求，用来返回页面信息、发送、获取数据等，它们就像店铺的店员。 当在www.aaa.com下出现www.bbb.com的域名请求，就好像店铺A的店里出现了店铺B的店员b，作为知情者很自然就会想：店员b你不在店铺B好好上班来店铺A干什么，非奸即盗吧？浏览器作为“大型商场”就是这个情景中的知情者，它要消除这种隐患，因为如果来自己商场消费的人吃了亏以后就不来了，它不能让消费者吃亏。这是直接保护了消费者，同时因为消费者万一吃亏，他会很直接的认为是店铺和商场骗了他，不再信任二者不再去二者那里消费

完整问题复现如下: 已拦截跨源请求：同源策略禁止读取位于XXXXXXXXXXXXXXXX/demo_test.txt 的远程资源。（原因：CORS 请求不是 http） 原始代码index.html在附录中 ############################################################################################## 解决方案: 概念上: CORS请求和HTTP请求不是一个东西。 CORS请求的协议是CORS HTTP请求的协议是HTTP 1./home/appleyuchi/load_test下面放置demo_test.txt和index.html(html中的代码不需要修改) demo_test.txt里面的内容是: "这里是输出的内容" 2. nginx -c /etc/nginx/nginx.conf(该文件在文末附录中) nginx -s reload 3. 浏览器打开 http://127.0.0.1:10072/load_test/ 点击 ############################附录################################################################## /etc/nginx/nginx.conf user root

1.同源策略 是浏览器的安全策略 协议名、域名、端口号必须一致 2.跨域 违背了同源策略就会产生跨域 3.解决跨域 jsonp cors 服务器代理模式 第一步 创建script标签 var script = docuemnt.createElement("script") 第二步 设置回调函数 fuction getData(data){ //数据请求回来会被触发的函数 consol.log(data) } 第三步 设置script标签的src属性 设置请求地址 script.src = "http://localhost:3000？callback=getData" 第四步 让script 标签生效 document.body.appendChild(script) 来源： 51CTO 作者： 喝醉的熊 链接： https://blog.51cto.com/13550695/2460639

4.2.4 同源策略 同源策略，是浏览器为了保护用户信息安全的一种安全机制。所谓的同源就是指代通信的两个地址（例如服务端接口地址与浏览器客户端页面地址）之间比较，是否协议、域名(IP)和端口相同。不同源的客户端脚本[javascript]在没有明确授权的情况下，没有权限读写对方信息。 ajax本质上还是javascript，是运行在浏览器中的脚本语言，所以会被受到浏览器的同源策略所限制。 前端地址： http://www.oldboy.cn/index.html 是否同源 原因 http://www.oldboy.cn/user/login.html 是 协议、域名、端口相同 http://www.oldboy.cn/about.html 是 协议、域名、端口相同 https://www.oldboy.cn/user/login.html 否 协议不同 ( https和http ) http:/www.oldboy.cn:5000/user/login.html 否 端口 不同( 5000和80) http://bbs.oldboy.com/user/login.html 否 域名不同 来源： https://www.cnblogs.com/eliwen/p/12048108.html