课程咨询: 400-996-5531 / 投诉建议: 400-111-8989
认识达内从这里开始
认真做教育 专心促就业
相信大家在学习浏览器的相关知识的时候应该都接触过同源策略这个概念了,下面我们就通过案例分析来了解一下,同源策略的具体应用与表现。
SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。
浏览器的同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。
SOP是一个很好的策略,但是随着Web应用的发展,网站由于自身业务的需求,需要实现一些跨域的功能,能够让不同域的页面之间能够相互访问各自页面的内容。
CORS,跨域资源共享(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
如何平常测试中检查这个漏洞?
CORS的漏洞主要看当我们发起的请求中带有Origin头部字段时,服务器的返回包带有CORS的相关字段并且允许Origin的域访问。
一般测试WEB漏洞都会用上BurpSuite,而BurpSuite可以实现帮助我们检测这个漏洞。
JSONP的跨域
JSONP是一种简单的服务器与客户端跨域通信的办法,此种跨域只能发起GET请求。其基本思想是网页通过添加一个script元素,向服务器请求JSON数据,这种做法不受同源策略限制。服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
CORS结合XSS漏洞进行利用
有时候CORS配置了信任自身的任意子域,那么如果一个子域存在XSS漏洞就可以通过这个漏洞去读取其他子域的资源,类似的场景还有比如HTTPS域信任HTTP域等。
【免责声明】:本内容转载于网络,转载目的在于传递信息。文章内容为作者个人意见,本平台对文中陈述、观点保持中立,不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。
< 上一篇:太原计算机培训数据分析中的Kmeans算法应用
下一篇:泛型的基本概念与运用方法 >
2025-02-12
免费试听课程
- 全部课程
- IT课程
- 设计课程
- 运营课程
4578
最新开班时间
- 北京
- 上海
- 广州
- 深圳
- 南京
- 成都
- 武汉
- 西安
- 青岛
- 天津
- 杭州
- 重庆
- 哈尔滨
- 济南
- 沈阳
- 合肥
- 郑州
- 长春
- 苏州
- 长沙
- 昆明
- 太原
- 无锡
- 石家庄
- 南宁
- 佛山
- 珠海
- 宁波
- 保定
- 呼和浩特
- 洛阳
- 烟台
- 运城
- 潍坊
- 开课名称
- 开班时间
- 抢座
- 咨询
- 开课名称
- 开班时间
- 抢座
- 咨询
-
- Java全链路开发
- 12月30日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 12月30日
- 火热抢座中
- 立即咨询
- 人工智能工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 12月30日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 12月30日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 12月30日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 12月30日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 12月30日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 12月30日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 12月30日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 12月30日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 12月30日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 12月30日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 12月30日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 12月30日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 12月30日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 12月30日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 12月30日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 12月30日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 12月30日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 12月30日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 12月30日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 12月30日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 12月30日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 12月30日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 12月30日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 12月30日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 12月30日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 12月30日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 12月30日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 12月30日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 12月30日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 12月30日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 12月30日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 12月30日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 12月30日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 12月30日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 12月30日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 12月30日
- 火热抢座中
- 立即咨询
预约申请试听课
400-111-8989
lihm@tedu.cn
