摘要:参考文献白帽子讲安全亚马逊购买地址链接前言浏览器作为客户端,也是我们用户上网的直接入口,所以浏览器的安全就是用户安全的第一道屏障。同源策略同源策略是浏览器最核心最基本的安全功能。不同源的客户端脚本在没明确授权的情况下,不能读写对方的资源。
参考文献:白帽子讲Web安全 (亚马逊购买地址:链接)
前言浏览器作为客户端,也是我们用户上网的直接入口,所以浏览器的安全就是用户安全的第一道屏障。
同源策略同源策略是浏览器最核心最基本的安全功能。它限制了来自不同源的“document”或脚本,对当前“document”读取或者设置某些属性。所谓同源是指host(域名或者ip地址)、子域名、端口和协议相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。
但需要注意的是,对于当前页面来说,页面存放js文件的域并不重要,重要的是加载js的页面所在域是什么。例如:在a.com的页面下通过获取了b.com域中的资源,但是由于b.js是运行在a.com的页面中,因此对于当前页面来讲,b.js的域就是a.com。
在浏览器中,