Rumah  >  Artikel  >  hujung hadapan web  >  Penjelasan terperinci tentang kemahiran policy_javascript asal yang sama

Penjelasan terperinci tentang kemahiran policy_javascript asal yang sama

WBOY
WBOYasal
2016-05-16 15:58:061278semak imbas

Artikel ini menganalisis strategi asal yang sama dengan lebih terperinci. Kongsikan dengan semua orang untuk rujukan anda. Butirannya adalah seperti berikut:

Konsep: Dasar asal yang sama ialah metrik keselamatan yang penting untuk skrip sisi klien (terutamanya Javascript). Ia pertama kali keluar daripada Netscape Navigator2.0, dan tujuannya adalah untuk menghalang dokumen atau skrip daripada dimuatkan daripada pelbagai sumber yang berbeza.

Asal yang sama di sini merujuk kepada: protokol yang sama, nama domain yang sama dan port yang sama.

Intipati:

Intipatinya adalah mudah: ia menganggap kandungan dipercayai yang dimuatkan dari mana-mana tapak sebagai tidak selamat. Apabila skrip yang tidak dipercayai oleh penyemak imbas dijalankan dalam kotak pasir, ia hanya dibenarkan untuk mengakses sumber dari tapak yang sama, bukan dari tapak lain yang mungkin berniat jahat.

Mengapa terdapat sekatan asal yang sama?

Mari kita berikan contoh: Sebagai contoh, program penggodam menggunakan IFrame untuk membenamkan halaman log masuk bank sebenar pada halamannya Apabila anda log masuk dengan nama pengguna dan kata laluan sebenar anda, halamannya boleh dibaca melalui Javascript input dalam borang anda, supaya nama pengguna dan kata laluan boleh diperolehi dengan mudah.

Aplikasi Ajax:

Had keselamatan ini dipecahkan dalam aplikasi Ajax.

Dalam aplikasi Javascript biasa, kami boleh mengubah suai href Frame atau src IFrame untuk mencapai penyerahan merentas domain dalam mod GET, tetapi kami tidak boleh mengakses kandungan dalam Frame/IFrame merentas domain.

Ajax menggunakan XMLHTTP untuk interaksi tak segerak Objek ini juga boleh berinteraksi dengan pelayan jauh Apa yang lebih berbahaya ialah XMLHTTP ialah objek Javascript tulen ini dilakukan di latar belakang. Oleh itu, XMLHTTP sebenarnya telah menembusi had keselamatan asal Javascript.

Jika kami ingin memanfaatkan keupayaan interaksi tak segerak bebas muat semula XMLHTTP, tetapi tidak mahu melanggar dasar keselamatan Javascript secara terang-terangan, alternatifnya ialah menambah sekatan ketat asal yang sama pada XMLHTTP. Dasar keselamatan sedemikian hampir sama dengan dasar keselamatan Applet. Penghadan IFrame ialah ia tidak boleh mengakses data dalam HTMLDOM silang domain, manakala XMLHTTP pada asasnya mengehadkan penyerahan permintaan merentas domain .

Sokongan penyemak imbas: IE sebenarnya membuka dua pintu belakang untuk dasar keselamatan ini Satu ialah: ia menganggap bahawa fail tempatan anda secara semula jadi mengetahui kandungan yang akan diakses, jadi mana-mana fail tempatan anda mengakses data luaran amaran. Satu lagi ialah: apabila skrip tapak web yang anda lawati berhasrat untuk mengakses maklumat merentas domain, ia sebenarnya hanya muncul kotak dialog untuk mengingatkan anda. Jika tapak web penipuan menggunakan kaedah ini untuk memberikan anda halaman palsu, dan kemudian membantu anda log masuk ke pelayan bank sebenar dari jauh melalui XMLHTTP. Hanya seorang daripada 10 pengguna keliru dan mengklik OK. Kecurian akaun mereka berjaya! Fikirkanlah, betapa bahayanya ini!

FireFox tidak melakukan ini Secara lalai, FireFox tidak menyokong permintaan XMLHTTP merentas domain dan tidak memberi peluang seperti itu kepada penggodam.

Elakkan strategi asal yang sama:

JSON dan teg skrip dinamik