Penjelasan terperinci tentang kemahiran policy_javascript asal yang sama

Artikel ini menganalisis strategi asal yang sama dengan lebih terperinci. Kongsikan dengan semua orang untuk rujukan anda. Butirannya adalah seperti berikut:

Konsep: Dasar asal yang sama ialah metrik keselamatan yang penting untuk skrip sisi klien (terutamanya Javascript). Ia pertama kali keluar daripada Netscape Navigator2.0, dan tujuannya adalah untuk menghalang dokumen atau skrip daripada dimuatkan daripada pelbagai sumber yang berbeza.

Asal yang sama di sini merujuk kepada: protokol yang sama, nama domain yang sama dan port yang sama.

Intipati:

Intipatinya adalah mudah: ia menganggap kandungan dipercayai yang dimuatkan dari mana-mana tapak sebagai tidak selamat. Apabila skrip yang tidak dipercayai oleh penyemak imbas dijalankan dalam kotak pasir, ia hanya dibenarkan untuk mengakses sumber dari tapak yang sama, bukan dari tapak lain yang mungkin berniat jahat.

Mengapa terdapat sekatan asal yang sama?

Mari kita berikan contoh: Sebagai contoh, program penggodam menggunakan IFrame untuk membenamkan halaman log masuk bank sebenar pada halamannya Apabila anda log masuk dengan nama pengguna dan kata laluan sebenar anda, halamannya boleh dibaca melalui Javascript input dalam borang anda, supaya nama pengguna dan kata laluan boleh diperolehi dengan mudah.

Aplikasi Ajax:

Had keselamatan ini dipecahkan dalam aplikasi Ajax.

Dalam aplikasi Javascript biasa, kami boleh mengubah suai href Frame atau src IFrame untuk mencapai penyerahan merentas domain dalam mod GET, tetapi kami tidak boleh mengakses kandungan dalam Frame/IFrame merentas domain.

Ajax menggunakan XMLHTTP untuk interaksi tak segerak Objek ini juga boleh berinteraksi dengan pelayan jauh Apa yang lebih berbahaya ialah XMLHTTP ialah objek Javascript tulen ini dilakukan di latar belakang. Oleh itu, XMLHTTP sebenarnya telah menembusi had keselamatan asal Javascript.

Jika kami ingin memanfaatkan keupayaan interaksi tak segerak bebas muat semula XMLHTTP, tetapi tidak mahu melanggar dasar keselamatan Javascript secara terang-terangan, alternatifnya ialah menambah sekatan ketat asal yang sama pada XMLHTTP. Dasar keselamatan sedemikian hampir sama dengan dasar keselamatan Applet. Penghadan IFrame ialah ia tidak boleh mengakses data dalam HTMLDOM silang domain, manakala XMLHTTP pada asasnya mengehadkan penyerahan permintaan merentas domain .

Sokongan penyemak imbas: IE sebenarnya membuka dua pintu belakang untuk dasar keselamatan ini Satu ialah: ia menganggap bahawa fail tempatan anda secara semula jadi mengetahui kandungan yang akan diakses, jadi mana-mana fail tempatan anda mengakses data luaran amaran. Satu lagi ialah: apabila skrip tapak web yang anda lawati berhasrat untuk mengakses maklumat merentas domain, ia sebenarnya hanya muncul kotak dialog untuk mengingatkan anda. Jika tapak web penipuan menggunakan kaedah ini untuk memberikan anda halaman palsu, dan kemudian membantu anda log masuk ke pelayan bank sebenar dari jauh melalui XMLHTTP. Hanya seorang daripada 10 pengguna keliru dan mengklik OK. Kecurian akaun mereka berjaya! Fikirkanlah, betapa bahayanya ini!

FireFox tidak melakukan ini Secara lalai, FireFox tidak menyokong permintaan XMLHTTP merentas domain dan tidak memberi peluang seperti itu kepada penggodam.

Elakkan strategi asal yang sama:

JSON dan teg skrip dinamik

src="http://yoursiteweb.com/findItinerary?username=sachiko&
reservationNum=1234&output=json&callback=showItinerary" />

Apabila kod JavaScript memasukkan teg secara dinamik, penyemak imbas mengakses URL dalam atribut src. Ini menyebabkan maklumat dalam rentetan pertanyaan dihantar ke pelayan. Dalam Penyenaraian 1, nama pengguna dan tempahan diluluskan sebagai pasangan nilai nama. Selain itu, rentetan pertanyaan mengandungi format output yang diminta daripada pelayan dan nama fungsi panggil balik (iaitu, showItinerary). Selepas teg dimuatkan, fungsi panggil balik dilaksanakan dan maklumat yang dikembalikan daripada perkhidmatan dihantar ke fungsi panggil balik melalui parameternya.

Proksi Ajax

Proksi Ajax ialah pelayan proksi peringkat aplikasi yang mengantara permintaan dan respons HTTP antara penyemak imbas web dan pelayan. Proksi Ajax membenarkan pelayar web memintas Dasar Asal yang Sama supaya pelayan pihak ketiga boleh diakses menggunakan XMLHttpRequest. Untuk mencapai pintasan ini, terdapat dua kaedah untuk dipilih:
Aplikasi web pelanggan mengetahui URL pihak ketiga dan menghantar URL kepada proksi Ajax sebagai parameter permintaan dalam permintaan HTTP. Proksi kemudiannya memajukan permintaan ke [url]www.jb51.net[/url]. Ambil perhatian bahawa penggunaan pelayan proksi boleh disembunyikan dalam pelaksanaan perpustakaan Ajax yang digunakan oleh pembangun aplikasi Web. Bagi pembangun aplikasi web, nampaknya tiada Dasar Asal yang Sama sama sekali.
Aplikasi web pelanggan tidak mengetahui URL pihak ketiga dan cuba mengakses sumber pada pelayan proksi Ajax melalui HTTP. Menggunakan peraturan pengekodan yang dipratentukan, proksi Ajax menukar URL yang diminta kepada URL pelayan pihak ketiga dan mendapatkan semula kandungan bagi pihak klien. Ini menunjukkan kepada pembangun aplikasi web bahawa mereka berkomunikasi secara langsung dengan pelayan proksi.

Greasemonkey

Greasemonkey ialah sambungan Firefox yang membolehkan pengguna mengubah suai gaya dan kandungan halaman web secara dinamik. Pengguna Greasemonkey boleh mengaitkan fail skrip pengguna dengan koleksi URL. Skrip ini dilaksanakan apabila penyemak imbas memuatkan halaman daripada set URL ini. Greasemonkey menyediakan kebenaran tambahan kepada API untuk skrip pengguna (berbanding dengan kebenaran untuk skrip yang dijalankan dalam kotak pasir penyemak imbas).

GM_XMLHttpRequest ialah salah satu daripada API ini, yang pada asasnya ialah XMLHttpRequest tanpa dasar asal yang sama. Skrip pengguna boleh mengatasi XMLHttpRequest terbina dalam penyemak imbas dengan GM_XMLHttpRequest, membenarkan XMLHttpRequest melakukan akses merentas domain.

Penggunaan GM_XMLHttpRequest hanya boleh dilindungi melalui persetujuan pengguna. Maksudnya, Greasemonkey hanya memerlukan konfigurasi pengguna apabila mewujudkan perkaitan antara skrip pengguna baharu dan koleksi URL tertentu. Walau bagaimanapun, tidak sukar untuk membayangkan bahawa sesetengah pengguna mungkin terpedaya untuk menerima pemasangan tanpa memahami sepenuhnya akibatnya.

Saya harap artikel ini akan membantu reka bentuk pengaturcaraan JavaScript semua orang.