iT邦幫忙

第 11 屆 iThome 鐵人賽
DAY 11
3
Security

Web Security 魔法使攻略系列 第 11

Web Security 魔法使攻略─前端的安全就由你來守護

11th鐵人賽
1317 瀏覽

  • 分享至 

  • xImage
    •  

正文

同源政策

「講完 SQL
講到前端安全,就要提提瀏覽器的安全策略─同源政策(Same-origin policy)
不同域名的底下的資源(如腳本)不可以去讀取不同域名的資源
同源所指的是相同域名、相同的協定、相同的端口

URL的比較

網址 是否同源 為什麼
http://feifei.com.tw 同源
http://feifei.com.tw/blog 同源
https://feifei.com.tw 不同源 協定不同
http://feifei.com.tw:8080 不同源 端口不同
http://blog.feifei.com.tw 不同源 域名不同

「如果真的要跨域,該怎麼辦呢?」
如果需要跨域,需要用到跨來源資源共用(CORS) , JSONP(JSON with Padding)可以讓網頁從別的網域要資料。

跨來源資源共用(CORS)

  • 使用額外 HTTP header
  • 建立跨來源 HTTP 請求(cross-origin HTTP request)
  • XMLHttpRequest 或 Fetch API 進行跨站請求
  • 簡單請求
    • 只有允許 GET,HEAD,POST
  • 預檢請求
    • PUT,DELETE,CONNECT,OPTIONS,TRACE,PATCH
  • 推薦參考CORS

上一篇
Web Security 魔法使攻略─SQLI III
下一篇
Web Security 魔法使攻略─XSS
系列文
Web Security 魔法使攻略30
  1. 26
    Web Security 魔法使攻略─OWASP TOP 10
  2. 27
    Web Security 魔法使攻略─蒐集敵人的資訊
  3. 28
    Web Security 魔法使攻略─更深入的挑戰
  4. 29
    Web Security 魔法使攻略─魔法工具
  5. 30
    Web Security 魔法使攻略─Web 之路還很長ᕕ ( ᐛ ) ᕗ
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19752
完賽人數
529
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙