视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
JavaScript(Ajax)和Cookie的同源策略
2020-11-27 20:30:52 责编:小采
文档
点击下载本文 文档为doc格式
一个URL由四部分组成,拿 www.2cto.com 来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价www.2cto.com:80

协议:http

主机:www.2cto.com

端口:80

路径:/

所谓的同源就是要求这个URL的协议,主机,端口三部分都相同。一般我们说的域或者domain也是这里的源的概念。

对于上面的URL,有以下结果:

存在一种异常情况,javascript可以通过设置document.domain来修改主机和端口部分的值,如果这样做,设置后的值就会作为同源策略检查的标准。比如对于http://blog.csdn.net/yanical和http://bbs.csdn.net/可以执行下面的javascript:

[javascript] document.domain = "csdn.net";

这样后,这两个页面就是同一个源了。出于安全的考虑,不能设置为其他主domain,比如http://www.csdn.net/不能设置为sina.com

我们看到,javascript中只有主机的部分被设置了,没有提到端口的部分。事实上,在执行上面的javascript的时候,端口也被设置了,且被设置成了null值。所以,对于http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都执行上面的javascript,那么端口都被设为了null,他们也就变成同源了。

同源策略最早被用来阻止一个源的js去获取或者修改另外一个源的文档属性,这里的javascript的源指的是加载javascript的HTML页面的源,而不是javascript自己所在的源。

举个例子,有两个HTML和两个javascript。test.html包含一个iframe引用了frame.html,且他们在不同的源;test.html还引用了两个js,他们其中一个也和test.html的源不同;test.html的javascript还试图去修改frame.html。

test.html:

[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe>
</body>
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script>
<script language="javascript" src="http://localhost/content/samedomain.js"></script>
<script>
document.write('------write from test.html');
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='------overwrite frame from test.html';
</script>
</html>

frame.html:

[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<script>
document.write('------write from frame.html');
</script>
</body>
</html>
otherdomain.js:



[javascript] document.write('------write from otherdomain.js');
samedomain.js:



[javascript] document.write('------write from samedomain.js');


我们访问http://localhost/test.html,执行结果如下:

可以看到,尽管test.html和otherdomain.js的源不同,但是因为otherdomain.js是test.html加载进来的,所以他们还是同一个源。但是test.html和frame.html就不是同一个源,浏览器阻止了修改请求。

现在同源策略还被用来判断一个XMLHTTPRequest(AJAX)是否合法,一个页面只能向同一个源的服务器发起AJAX请求。

需要注意的是,Cookie的同源策略和javascript略有不同,就是Cookie忽略了协议这一项,所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。

下载本文
显示全文
专题
懂视 51dongshi.net 版权所有
Copyright © 2019-2025