zoukankan      html  css  js  c++  java
  • js同源

    同源策略

    同源是js对能操作那些web内容的一条完整的安全限制。当web页面打开其他浏览器窗口,或者使用iframe的时候,会发挥作用。
    即,脚本只能读取和所属文档来源相同的窗口和文档的属性。
    文档的来源包含协议,主机,载入文档的url端口。从不同web服务器载入的文档具有不同的来源,同过同一主机的不同端口载入的文档也具有不同的来源。使用http和https的也是不同的来源,因为协议不同。
    即,协议,主机, 载入文档的url端口,完全和文档的相同,才能允许脚本读取文件内容。
    但是对于脚本本身的来源没有任何的关系。
    举例
    脚本a是包含在一个来自主机b文档bb的,即脚本a可以访问文档bb的所有的内容。
    脚本a又打开了一个来自于主机c的cc文档,由于来源不同,脚本a不能访问文档cc的内容。但是如果脚本a又打开一个来自主机b的文档bbb,这时,脚本a可以访问文档bbb(此时是在两个不同的窗口下,也可以实现访问)
    如果脚本打开一个窗口,脚本也可以关闭,但不能以任何方式查看窗口内部。

    不严格的同源策略

    本地使用web server for chrome 启动服务。修改host文件,解析home.abc.com 以及 abc.com到这两个域名
    访问,http://home.abc.com:8887/ 以及http://abc.com:8887/都来自于同一主机 127.0.0.1
    这样就完成了一个最简单的本地服务器的搭建

    设置document.domain

    > document.domain
    "home.abc.com"
    

    只允许请求home.abc.com来源的网站。
    设置

    > document.domain = "abc.com";
    "abc.com"
    

    这样就设置了一个同源,对于

    *.abc.com
    

    的请求,当做全部同源。

    设置相同的document.domain

    设置相同的document.domain,如果两个值相同,则脚本可以互相访问。不会受到同源的约束。

    跨域资源共享

    使用Origin扩展http,确保资源共享

    https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Origin

    显式的列出所有源。根据Origin的值,列出源,避免再次跨源

    跨文档消息

    使用postMessage()方法,异步传递消息事件

    脚本化插件和ActiveX控件

    在web浏览器中,js被用作很多软件和插件的脚本引擎。
    ActiveX 网上银行用的多,╮(╯▽╰)╭
    很老很老的技术了。。3721。(⊙o⊙)

    js不能做什么

    客户端js没有权限写入删除客户计算机上的任意文件或列出任意目录。即js程序不能删除数据或者植入病毒。
    客户端的js没有任何通用的网络能力,客户端js程序可以对http协议编程,并且有套接字的api,用于指定服务器通信,但是都不能进行更大范围,更广的网络进行访问。

    在无知的道路上缓步前行
  • 相关阅读:
    Java 书籍 Top 10
    maven学习笔记
    Extjs study
    初学spring mvc
    spring context:componentscan (转)
    What is AspectJ(转)
    java concurrency 学习
    (转)深入浅出REST
    icloud不用翻就能显示地图的办法(转)
    OSGi知识
  • 原文地址:https://www.cnblogs.com/melovemingming/p/9411166.html
Copyright © 2011-2022 走看看