JavaScript(Ajax)和Cookie的同源策略

一個URL由四部分組成,拿 www.aiwalls.com 來說(http的默認端口是80,https的默認端口是443。如果是默認端口,可以省略,所以這個URL等價www.aiwalls.com:80

協議:http

主機:www.aiwalls.com

端口:80

路徑:/

所謂的同源就是要求這個URL的協議,主機,端口三部分都相同。一般我們說的域或者domain也是這裡的源的概念。

對於上面的URL,有以下結果:

 

其他URL 是否同源 原因
http://blog.csdn.net/xilang/index.html  
http://blog.csdn.net/yanical/othersub  
https://blog.csdn.net/yanical 協議,端口不同
http://blog.csdn.net:81/yanical 端口不同
http://www.csdn.net/ 主機不同

 

存在一種異常情況,javascript可以通過設置document.domain來修改主機和端口部分的值,如果這樣做,設置後的值就會作為同源策略檢查的標準。比如對於http://blog.csdn.net/yanical和http://bbs.csdn.net/可以執行下面的javascript:

 [javascript]  document.domain = "csdn.net"; 
 

這樣後,這兩個頁面就是同一個源瞭。出於安全的考慮,不能設置為其他主domain,比如http://www.csdn.net/不能設置為sina.com

我們看到,javascript中隻有主機的部分被設置瞭,沒有提到端口的部分。事實上,在執行上面的javascript的時候,端口也被設置瞭,且被設置成瞭null值。所以,對於http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都執行上面的javascript,那麼端口都被設為瞭null,他們也就變成同源瞭。

同源策略最早被用來阻止一個源的js去獲取或者修改另外一個源的文檔屬性,這裡的javascript的源指的是加載javascript的HTML頁面的源,而不是javascript自己所在的源。

舉個例子,有兩個HTML和兩個javascript。test.html包含一個iframe引用瞭frame.html,且他們在不同的源;test.html還引用瞭兩個js,他們其中一個也和test.html的源不同;test.html的javascript還試圖去修改frame.html。

test.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe> 
</body> 
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script> 
<script language="javascript" src="http://localhost/content/samedomain.js"></script> 
<script> 
document.write('——write from test.html'); 
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='——overwrite frame from test.html'; 
</script> 
</html> 
 
frame.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<script> 
document.write('——write from frame.html'); 
</script> 
</body> 
</html> 
otherdomain.js:
 
 
 
[javascript]  document.write('——write from otherdomain.js'); 
samedomain.js:
 
 
 
[javascript]  document.write('——write from samedomain.js'); 

我們訪問http://localhost/test.html,執行結果如下:

可以看到,盡管test.html和otherdomain.js的源不同,但是因為otherdomain.js是test.html加載進來的,所以他們還是同一個源。但是test.html和frame.html就不是同一個源,瀏覽器阻止瞭修改請求。

現在同源策略還被用來判斷一個XMLHTTPRequest(AJAX)是否合法,一個頁面隻能向同一個源的服務器發起AJAX請求。

需要註意的是,Cookie的同源策略和javascript略有不同,就是Cookie忽略瞭協議這一項,所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。

摘自 紙做原創

發佈留言