집 > 기사 > 웹 프론트엔드 > Node.js 원본 정책: 웹 콘텐츠 운영에 대한 완전한 보안 제한

Node.js 원본 정책: 웹 콘텐츠 운영에 대한 완전한 보안 제한

php是最好的语言원래의: 2018-08-03 10:33:112390검색

동일 출처 정책

동일 출처는 해당 웹 콘텐츠를 운영하는 js에 대한 완전한 보안 제한입니다. 웹페이지가 다른 브라우저 창을 열거나 iframe을 사용할 때 작동됩니다.
즉, 스크립트는 자신이 속한 문서와 소스가 동일한 창 및 문서의 속성만 읽을 수 있습니다.
문서 소스에는 문서를 로드하기 위한 프로토콜, 호스트 및 URL 포트가 포함되어 있습니다. 서로 다른 웹 서버에서 로드된 문서는 출처가 다르며, 동일한 호스트의 서로 다른 포트에서 로드된 문서도 출처가 다릅니다. http와 https를 사용하는 것 역시 프로토콜이 다르기 때문에 소스가 다릅니다.
즉, 스크립트가 파일 내용을 읽을 수 있으려면 문서를 로드하기 위한 프로토콜, 호스트 및 URL 포트가 문서와 완전히 동일해야 합니다.
하지만 스크립트 자체의 소스와는 아무런 관련이 없습니다.
Example
스크립트 a는 호스트 b의 문서 bb에 포함되어 있습니다. 즉, 스크립트 a는 문서 bb의 모든 내용에 액세스할 수 있습니다.
스크립트 a는 호스트 c에서 다른 cc 문서를 엽니다. 소스가 다르기 때문에 스크립트 a는 문서 cc의 내용에 액세스할 수 없습니다. 그러나 스크립트 a가 호스트 b에서 문서 bbb를 열면 스크립트 a는 문서 bbb에 액세스할 수 있습니다(이때 두 개의 다른 창에서 액세스도 가능합니다)
스크립트가 창을 열면 스크립트는 또한 닫혀 있지만 창 내부는 전혀 볼 수 없습니다.

Lose Origin 정책

Chrome용 웹 서버를 로컬에서 사용하여 서비스를 시작하세요. 호스트 파일을 수정하고 home.abc.com 및 abc.com을 구문 분석하여 두 도메인 이름
, http://home.abc.com:8887/ 및 http://abc.com:8887/에 액세스합니다. 둘 다 동일한 호스트에서 127.0.0.1
이렇게 하면 가장 간단한 로컬 서버 구성이 완료됩니다

Set document.domain

> document.domain
"home.abc.com"

home.abc에 대한 요청만 허용합니다. .com 소스 웹사이트.
설정

> document.domain = "abc.com";
"abc.com"

이는 동일한 출처를 설정하고

*.abc.com

의 요청을 모든 출처로 처리합니다.

동일한 document.domain 설정

동일한 document.domain 설정, 두 값이 동일하면 스크립트는 서로 접근할 수 있습니다. 동일한 출처에 얽매이지 않습니다.

교차 도메인 리소스 공유

Origin을 사용하여 http를 확장하여 리소스 공유 보장

https://developer.mozilla.org... #🎜 🎜#

모든 출처를 명시적으로 나열하세요. Origin의 값에 따라 소스가 다시 소스 교차를 방지하기 위해 나열됩니다

Cross-document message

postMessage() 메소드를 사용하여 메시지 이벤트를 비동기적으로 전달

스크립트 플러그인 및 ActiveX 컨트롤

웹 브라우저에서 js는 많은 소프트웨어 및 플러그인의 스크립트 엔진으로 사용됩니다.

ActiveX는 온라인 뱅킹에서 널리 사용됩니다. ╮(╯▽╰)╭
아주 오래된 기술입니다. . 3721. (⊙o⊙)

js can't do

클라이언트 js에는 클라이언트 컴퓨터의 파일을 쓰거나 삭제하거나 디렉터리를 나열할 수 있는 권한이 없습니다. 즉, js 프로그램은 데이터를 삭제하거나 바이러스를 심을 수 없습니다.

클라이언트 js에는 일반적인 네트워크 기능이 없습니다. 클라이언트 js 프로그램에는 http 프로토콜을 프로그래밍할 수 있고 서버 통신을 지정하는 소켓 API가 있지만 방문을 위해 더 넓은 범위의 네트워크를 수행할 수는 없습니다. .