js origin Policy : une restriction de sécurité complète pour l'exploitation du contenu Web

Politique originale

L'origine originale est une restriction de sécurité complète permettant à js de fonctionner sur ces contenus Web. Il entrera en jeu lorsque la page Web ouvrira d’autres fenêtres de navigateur ou utilisera des iframes.
C'est-à-dire que le script ne peut lire que les propriétés des fenêtres et des documents provenant de la même source que le document auquel il appartient.
La source du document comprend le protocole, l'hôte et le port URL pour charger le document. Les documents chargés depuis différents serveurs Web ont des origines différentes, et les documents chargés depuis différents ports sur le même hôte ont également des origines différentes. Ceux qui utilisent http et https proviennent également de sources différentes car les protocoles sont différents.
C'est-à-dire que le protocole, l'hôte et le port URL de chargement du document doivent être complètement identiques à ceux du document pour permettre au script de lire le contenu du fichier.
Mais cela n'a rien à voir avec l'origine du script lui-même.
Exemple
Le script a est inclus dans un document bb de l'hôte b, c'est-à-dire que le script a peut accéder à tout le contenu du document bb.
Le script a ouvre un autre document cc depuis l'hôte c. En raison des différentes sources, le script a ne peut pas accéder au contenu du document cc. Mais si le script a ouvre un document bbb depuis l'hôte b, alors le script a peut accéder au document bbb (à ce moment, sous deux fenêtres différentes, l'accès peut également être obtenu)
Si le script ouvre une fenêtre, le script peut également être fermée, mais l'intérieur de la fenêtre ne peut en aucun cas être vu.

Perdre la politique d'origine

Utiliser le serveur Web pour Chrome localement pour démarrer le service. Modifiez le fichier hôte, analysez home.abc.com et abc.com pour accéder à ces deux noms de domaine
, http://home.abc.com:8887/ et http://abc.com:8887/ viennent tous les deux du même hôte 127.0.0.1
Ceci termine la construction du serveur local le plus simple

Définir document.domain

> document.domain
"home.abc.com"

Autoriser uniquement les requêtes pour les sites Web provenant de home.abc.com .
Définissez

> document.domain = "abc.com";
"abc.com"

pour configurer une même origine. Pour les demandes de

*.abc.com

, toutes les demandes proviennent de la même origine.

Définissez le même document.domain

Définissez le même document.domain, si les deux valeurs sont identiques, les scripts peuvent accéder l'un à l'autre. Ne sera pas lié par la même origine.

Partage de ressources entre domaines

Utilisez Origin pour étendre http afin de garantir le partage de ressources

https://developer.mozilla.org...

Explicite pour lister toutes les sources. Selon la valeur de Origin, les sources sont répertoriées pour éviter à nouveau les messages multi-sources

Messages inter-documents

Utilisez la méthode postMessage() pour transmettre de manière asynchrone les événements de message

Plugins scriptés et contrôles ActiveX

Dans les navigateurs Web, js est utilisé comme moteur de script pour de nombreux logiciels et plug-ins.
ActiveX est largement utilisé dans les services bancaires en ligne, ╮(╯▽╰)╭
C'est une technologie très ancienne. . 3721. (⊙o⊙)

Ce que js ne peut pas faire

Le client js n'a pas l'autorisation d'écrire ou de supprimer des fichiers ou de répertorier des répertoires sur l'ordinateur client. Autrement dit, les programmes js ne peuvent pas supprimer de données ni implanter de virus.
Le js du client n'a pas de capacités réseau générales. Le programme js du client peut programmer le protocole http et il existe une API socket pour spécifier la communication du serveur, mais il ne peut pas effectuer un accès à des réseaux de plus en plus larges.

Articles associés :

Explication des points de connaissance sur la politique de même origine et la politique de sécurité csrf

Explication détaillée de js de même origine politique

Vidéos associées :

Tutoriel vidéo sur les bases de JavaScript

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!