最新文章专题视频专题问答1问答10问答100问答1000问答2000关键字专题1关键字专题50关键字专题500关键字专题1500TAG最新视频文章推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37视频文章20视频文章30视频文章40视频文章50视频文章60 视频文章70视频文章80视频文章90视频文章100视频文章120视频文章140 视频2关键字专题关键字专题tag2tag3文章专题文章专题2文章索引1文章索引2文章索引3文章索引4文章索引5123456789101112131415文章专题3
科技
当前位置: 首页 - 科技 - 知识百科 - 正文

JavaScript(Ajax)和Cookie的同源策略

来源:懂视网 责编:小采 时间:2020-11-27 20:30:52
文档

JavaScript(Ajax)和Cookie的同源策略

JavaScript(Ajax)和Cookie的同源策略:一个URL由四部分组成,拿 www.2cto.com 来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价www.2cto.com:80协议:http主机:www.2cto.com端口:80路径:/所谓的同源就是要求这个URL的协议,主机,端口三部分
推荐度:
点击下载本文 文档为doc格式
导读JavaScript(Ajax)和Cookie的同源策略:一个URL由四部分组成,拿 www.2cto.com 来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价www.2cto.com:80协议:http主机:www.2cto.com端口:80路径:/所谓的同源就是要求这个URL的协议,主机,端口三部分
一个URL由四部分组成,拿 www.2cto.com 来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价www.2cto.com:80

协议:http

主机:www.2cto.com

端口:80

路径:/

所谓的同源就是要求这个URL的协议,主机,端口三部分都相同。一般我们说的域或者domain也是这里的源的概念。

对于上面的URL,有以下结果:

QQ图片20161125152113.png

存在一种异常情况,javascript可以通过设置document.domain来修改主机和端口部分的值,如果这样做,设置后的值就会作为同源策略检查的标准。比如对于http://blog.csdn.net/yanical和http://bbs.csdn.net/可以执行下面的javascript:

[javascript] document.domain = "csdn.net";

这样后,这两个页面就是同一个源了。出于安全的考虑,不能设置为其他主domain,比如http://www.csdn.net/不能设置为sina.com

我们看到,javascript中只有主机的部分被设置了,没有提到端口的部分。事实上,在执行上面的javascript的时候,端口也被设置了,且被设置成了null值。所以,对于http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都执行上面的javascript,那么端口都被设为了null,他们也就变成同源了。

同源策略最早被用来阻止一个源的js去获取或者修改另外一个源的文档属性,这里的javascript的源指的是加载javascript的HTML页面的源,而不是javascript自己所在的源。

举个例子,有两个HTML和两个javascript。test.html包含一个iframe引用了frame.html,且他们在不同的源;test.html还引用了两个js,他们其中一个也和test.html的源不同;test.html的javascript还试图去修改frame.html。

test.html:

[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe>
</body>
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script>
<script language="javascript" src="http://localhost/content/samedomain.js"></script>
<script>
document.write('------write from test.html');
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='------overwrite frame from test.html';
</script>
</html>

frame.html:

[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<script>
document.write('------write from frame.html');
</script>
</body>
</html>
otherdomain.js:



[javascript] document.write('------write from otherdomain.js');
samedomain.js:



[javascript] document.write('------write from samedomain.js');


我们访问http://localhost/test.html,执行结果如下:

QQ图片20161125152113.png

可以看到,尽管test.html和otherdomain.js的源不同,但是因为otherdomain.js是test.html加载进来的,所以他们还是同一个源。但是test.html和frame.html就不是同一个源,浏览器阻止了修改请求。

现在同源策略还被用来判断一个XMLHTTPRequest(AJAX)是否合法,一个页面只能向同一个源的服务器发起AJAX请求。

需要注意的是,Cookie的同源策略和javascript略有不同,就是Cookie忽略了协议这一项,所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。

文档

JavaScript(Ajax)和Cookie的同源策略

JavaScript(Ajax)和Cookie的同源策略:一个URL由四部分组成,拿 www.2cto.com 来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价www.2cto.com:80协议:http主机:www.2cto.com端口:80路径:/所谓的同源就是要求这个URL的协议,主机,端口三部分
推荐度:
点击下载本文 文档为doc格式
标签: cookie js javascript
  • 热门焦点

最新推荐

猜你喜欢

热门推荐

专题
产品服务 发展历程 企业资讯 企业文化 关于我们 加入我们 联系我们 网站导航 网站律师

Copyright © 2019-2025 51dongshi.net 版权所有

赣ICP备2023002352号-34

违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务

Top