cari

Rumah  >  Artikel  >  hujung hadapan web  >  Html5 postMessage melaksanakan kemahiran tutorial messaging_html5 merentas domain

Html5 postMessage melaksanakan kemahiran tutorial messaging_html5 merentas domain

WBOY
WBOYasal
2016-05-16 15:51:401349semak imbas

1. Strategi asal yang sama

Untuk memahami merentas domain, kita mesti mengetahui dasar asal yang sama dahulu. Baidu Encyclopedia mentakrifkan dasar asal yang sama seperti berikut: Dasar asal yang sama ialah konvensyen teras dan fungsi keselamatan paling asas bagi penyemak imbas Jika dasar asal yang sama tiada, fungsi normal penyemak imbas mungkin terjejas. Boleh dikatakan bahawa Web dibina berdasarkan dasar asal yang sama, dan penyemak imbas hanyalah pelaksanaan dasar asal yang sama.

Apakah asal yang sama: Jika nama domain, protokol dan port dua URL adalah sama, ini bermakna ia mempunyai asal yang sama.

Dasar asal yang sama penyemak imbas mengehadkan "dokumen" atau skrip daripada sumber yang berbeza daripada membaca atau menetapkan atribut tertentu pada "dokumen" semasa. (White hat bercakap tentang keselamatan web[1]). Menurut dasar ini, JavaScript di bawah nama domain a.com tidak boleh merentas domain mengendalikan objek di bawah nama domain b.com. Contohnya, kod JavaScript yang terkandung dalam halaman di bawah nama domain baidu.com tidak boleh mengakses kandungan halaman di bawah nama domain google.com.

JavaScript mesti mematuhi dasar asal yang sama pelayar, termasuk Ajax (sebenarnya, Ajax juga terdiri daripada JavaScript). Permintaan Ajax yang dilaksanakan melalui objek XMLHttpRequest tidak boleh diserahkan kepada domain yang berbeza Contohnya, halaman di bawah abc.test.com tidak boleh menyerahkan permintaan Ajax ke def.test.com. Dengan menggunakan dasar asal yang sama, pengguna boleh memastikan bahawa halaman yang mereka lihat sebenarnya berasal dari domain yang mereka semak imbas.

Strategi asal yang sama adalah sangat penting dalam aplikasi kehidupan sebenar. Andaikan bahawa penyerang menggunakan Iframe untuk membenamkan halaman log masuk bank sebenar pada halamannya Apabila pengguna log masuk dengan nama pengguna dan kata laluan sebenar, halaman itu boleh membaca kandungan borang pengguna melalui JavaScript, supaya maklumat nama pengguna dan kata laluan Ia. telah bocor.

Dalam penyemak imbas, , , ,