网站运营优化方案,广西桂林公司,网页版微信二维码付款怎么弄,如何更改wordpress上的默认头像一、同源策略#xff08;Same Origin Policy#xff09;
1.定义 同源策略#xff08;Same - origin Policy#xff09;是一种浏览器的安全机制。它规定一个网页的脚本只能访问和操作与它同源的资源。这里的 “源” 包括协议#xff08;如 http、https#xff09;、域名Same Origin Policy
1.定义 同源策略Same - origin Policy是一种浏览器的安全机制。它规定一个网页的脚本只能访问和操作与它同源的资源。这里的 “源” 包括协议如 http、https、域名如example.com和端口如 80、443。只有当这三个部分完全相同的时候两个资源才被认为是同源的。 例如
http://www.example.com:8080和https://www.example.com:8080
不是同源的因为协议不同
http://www.example.com:80和http://www.example2.com:80
不是同源的因为域名不同
http://www.example.com:80和http://www.example.com:8080
不是同源的因为端口不同。 2.作用
1防止恶意脚本攻击 假如没有同源策略当用户访问一个正规的银行网站如https://bank.com时一个恶意脚本可能会被注入到页面中。这个恶意脚本可以来自其他非同源的恶意网站如http://malicious.com。它可能会通过 JavaScript 代码窃取用户在银行网站上输入的账号和密码信息然后发送给恶意服务器。
2保护用户隐私和数据安全
它限制了跨源访问用户的敏感数据如本地存储LocalStorage和会话存储SessionStorage中的数据。如果没有同源策略任何网站都可以访问用户在其他网站存储的数据这将对用户隐私造成巨大威胁。 3.跨源访问的限制情况
1DOM 访问限制
一个网页中的 JavaScript 代码通常不能直接访问和操作不同源网页的 DOM文档对象模型元素。例如不能从http://siteA.com的页面中通过 JavaScript 获取http://siteB.com页面中的 HTML 元素并修改它们。
2AJAX 请求限制
XMLHttpRequestXHR和 fetch 等用于在网页中发送异步请求的技术默认情况下也受到同源策略的限制。这意味着如果一个网页如http://frontend.com想要通过 XHR 或 fetch 向另一个不同源的服务器如http://backend.com获取数据浏览器会阻止这个请求。 4.跨源资源共享CORS作为同源策略的补充
1简单请求和非简单请求
① 简单请求
是指满足一定条件的请求如请求方法是 GET、POST 或 HEAD并且请求头中只有一些简单的字段如 Accept、Accept - Language、Content - Language 等。对于简单请求浏览器会在请求头中自动添加一个Origin字段表明请求来自哪个源。服务器在收到请求后如果允许这个源访问可以在响应头中添加Access - Control - Allow - Origin字段值为请求的源或者*表示允许任何源访问这样浏览器就会允许客户端接收这个响应。
② 非简单请求
如使用 PUT、DELETE 方法或者有自定义的请求头等情况浏览器会先发送一个预检请求OPTIONS 请求。这个预检请求会询问服务器是否允许真正的请求发送。服务器需要在响应头中返回允许的方法、请求头和源等信息只有当预检请求得到允许后浏览器才会发送真正的请求。
2JSONP 作为跨源访问的另一种方式有局限性
JSONPJSON with Padding是一种通过动态创建script标签来绕过同源策略的方式。它利用了script标签可以加载不同源脚本的特性。但是 JSONP 只能用于获取数据并且存在安全风险因为它会执行返回的 JavaScript 代码容易受到跨站脚本攻击XSS。 二、浏览器沙箱
1. 定义
浏览器沙箱是一种安全机制它为浏览器中的各种网页内容如 JavaScript 代码、插件等创建一个隔离的运行环境。在这个环境中运行的程序被限制在特定范围内无法对外部系统或其他沙箱环境造成破坏。这就好比在一个密封的 “沙箱” 内进行游戏里面的活动不会影响到沙箱之外的世界。
2. 目的
1防止恶意软件传播
当用户访问包含恶意脚本或插件的网页时沙箱能有效阻止恶意代码感染用户计算机系统。例如恶意 JavaScript 代码试图修改系统文件植入病毒或窃取数据在沙箱环境下由于其被限制在特定区域无法访问计算机关键系统资源如文件系统除特定缓存区域、操作系统内核等从而保障了系统安全。
2保护系统安全和稳定
沙箱可隔离不同网页内容。若一个网页因代码错误或恶意攻击崩溃沙箱确保该崩溃不会影响浏览器其他标签页或整个浏览器运行。比如在多标签页浏览器中一个标签页运行的复杂 JavaScript 应用出现无限循环错误在沙箱机制下仅该标签页失去响应不会导致整个浏览器冻结。
3. 工作原理
1资源隔离
①内存空间独立分配
浏览器沙箱为每个网页或插件分配独立内存空间。以网页 A 和网页 B 为例网页 A 运行的脚本只能在为其分配的内存中操作变量和数据结构无法访问网页 B 的内存区域各内存空间相互独立如同一个个独立的房间。
②文件系统访问限制
沙箱对文件系统访问仅允许有限且安全的操作。浏览器通常允许沙箱中的代码在临时缓存目录读取和写入小文件用于存储网页缓存数据如图片、脚本缓存等但禁止访问用户重要文档文件夹或系统配置文件。
2权限限制
沙箱严格限制代码权限。以网络访问控制为例沙箱中的代码在未获用户明确授权或不符合浏览器安全策略时不能随意发起网络连接。例如网页中的 JavaScript 代码不能自动向未经授权的外部服务器发送敏感用户数据。同时对于修改系统注册表Windows 系统或安装新软件等高风险操作沙箱内代码绝对禁止执行。
3进程隔离在某些浏览器架构中
部分现代浏览器采用进程隔离技术增强沙箱安全性如将每个标签页或插件运行在独立进程中。若一个进程如被恶意脚本攻击的标签页进程出现问题浏览器可轻松终止该进程而不影响其他进程其他正常标签页或浏览器核心进程。这如同将不同危险物品置于不同密封容器一个容器爆炸进程崩溃不会波及其他容器。
4. 沙箱在不同浏览器中的应用
1谷歌 Chrome 浏览器
Chrome 运用多进程架构实现沙箱每个标签页、插件和扩展程序都运行在独立进程中。这种架构安全性强即使一个进程遭受攻击其他进程仍能安全运行。此外Chrome 对 JavaScript 等代码进行严格权限管理限制其在沙箱中的活动范围。
2Mozilla Firefox 浏览器
Firefox 同样具备沙箱机制采用内存隔离和权限限制等多种技术隔离网页内容。其沙箱会不断更新改进以应对新安全威胁。例如对新的 JavaScript 特性进行安全性评估确保这些特性在沙箱环境中不会被滥用 。
