js-Ursprungsrichtlinie: eine vollständige Sicherheitsbeschränkung für den Betrieb von Webinhalten

Ursprüngliche Richtlinie

Der ursprüngliche Ursprung ist eine vollständige Sicherheitsbeschränkung für die Arbeit von js mit diesen Webinhalten. Es kommt ins Spiel, wenn die Webseite andere Browserfenster öffnet oder Iframes verwendet.
Das heißt, das Skript kann nur die Eigenschaften von Fenstern und Dokumenten aus derselben Quelle lesen wie das Dokument, zu dem es gehört.
Die Quelle des Dokuments umfasst das Protokoll, den Host und den URL-Port zum Laden des Dokuments. Dokumente, die von verschiedenen Webservern geladen werden, haben unterschiedliche Ursprünge, und Dokumente, die von verschiedenen Ports auf demselben Host geladen werden, haben ebenfalls unterschiedliche Ursprünge. Auch diejenigen, die http und https verwenden, stammen aus unterschiedlichen Quellen, da die Protokolle unterschiedlich sind.
Das heißt, das Protokoll, der Host und der URL-Port zum Laden des Dokuments müssen vollständig mit dem Dokument übereinstimmen, damit das Skript den Dateiinhalt lesen kann.
Aber es hat nichts mit der Herkunft des Drehbuchs selbst zu tun.
Beispiel
Skript a ist in einem Dokument bb von Host b enthalten, d. h. Skript a kann auf den gesamten Inhalt von Dokument bb zugreifen.
Skript a öffnet ein weiteres CC-Dokument von Host c. Aufgrund der unterschiedlichen Quellen kann Skript a nicht auf den Inhalt von Dokument cc zugreifen. Wenn Skript A jedoch ein Dokument BBB von Host B öffnet, kann Skript A auf Dokument BBB zugreifen (zu diesem Zeitpunkt kann auch unter zwei verschiedenen Fenstern darauf zugegriffen werden).
Wenn das Skript ein Fenster öffnet, kann Skript A auch darauf zugreifen geschlossen, das Innere des Fensters ist jedoch in keiner Weise einsehbar.

Lose Ursprungsrichtlinie

Verwenden Sie den Webserver für Chrome lokal, um den Dienst zu starten. Ändern Sie die Hostdatei, analysieren Sie home.abc.com und abc.com, um auf diese beiden Domänennamen zuzugreifen
, http://home.abc.com:8887/ und http://abc.com:8887/ kommen beide vom selben Host 127.0.0.1
Damit ist der Aufbau des einfachsten lokalen Servers abgeschlossen

Legen Sie document.domain fest

> document.domain
"home.abc.com"

Erlauben Sie nur Anfragen für Websites, die von home.abc.com stammen.
Setzen Sie

> document.domain = "abc.com";
"abc.com"

, um einen gleichen Ursprung festzulegen. Für Anfragen von

*.abc.com

stammen alle Anfragen vom gleichen Ursprung.

Gleiche document.domain festlegen

Gleiche document.domain festlegen. Wenn die beiden Werte gleich sind, können die Skripte aufeinander zugreifen. Wird nicht durch denselben Ursprung gebunden sein.

Domänenübergreifende Ressourcenfreigabe

Verwenden Sie Origin, um http zu erweitern, um die Ressourcenfreigabe sicherzustellen

https://developer.mozilla.org...

Explizit, um alle Quellen aufzulisten. Entsprechend dem Wert von Origin werden Quellen aufgelistet, um erneut quellenübergreifende Nachrichten zu vermeiden

Dokumentenübergreifende Nachrichten

Verwenden Sie die postMessage()-Methode, um Nachrichtenereignisse asynchron zu übermitteln

Skript-Plug-Ins und ActiveX-Steuerelemente

In Webbrowsern wird js als Skript-Engine für viele Software und Plug-Ins verwendet.
ActiveX wird häufig im Online-Banking verwendet, ╮(╯▽╰)╭
Es ist eine sehr alte Technologie. . 3721. (⊙o⊙)

Was js nicht kann

Client-js hat keine Berechtigung zum Schreiben oder Löschen von Dateien oder zum Auflisten von Verzeichnissen auf dem Client-Computer. Das heißt, js-Programme können keine Daten löschen oder Viren implantieren.
Das js des Clients verfügt über keine allgemeinen Netzwerkfunktionen. Das js-Programm des Clients kann das HTTP-Protokoll programmieren, und es gibt eine Socket-API zum Spezifizieren der Serverkommunikation, es kann jedoch keinen immer breiteren Netzwerkzugriff durchführen.

Verwandte Artikel:

Erläuterung der Wissenspunkte zur Same-Origin-Richtlinie und zur CSRF-Sicherheitsrichtlinie

Detaillierte Erläuterung von js Same-Origin Richtlinien

Ähnliche Videos:

Video-Tutorial zu den Grundlagen von JavaScript

Das obige ist der detaillierte Inhalt vonjs-Ursprungsrichtlinie: eine vollständige Sicherheitsbeschränkung für den Betrieb von Webinhalten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!