iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 11
3
Security

Web Security 魔法使攻略系列 第 11

Web Security 魔法使攻略─前端的安全就由你來守護

  • 分享至 

  • xImage
  •  

正文

同源政策

「講完 SQL
講到前端安全,就要提提瀏覽器的安全策略─同源政策(Same-origin policy)
不同域名的底下的資源(如腳本)不可以去讀取不同域名的資源
同源所指的是相同域名、相同的協定、相同的端口

URL的比較

網址 是否同源 為什麼
http://feifei.com.tw 同源
http://feifei.com.tw/blog 同源
https://feifei.com.tw 不同源 協定不同
http://feifei.com.tw:8080 不同源 端口不同
http://blog.feifei.com.tw 不同源 域名不同

「如果真的要跨域,該怎麼辦呢?」
如果需要跨域,需要用到跨來源資源共用(CORS) , JSONP(JSON with Padding)可以讓網頁從別的網域要資料。

跨來源資源共用(CORS)

  • 使用額外 HTTP header
  • 建立跨來源 HTTP 請求(cross-origin HTTP request)
  • XMLHttpRequest 或 Fetch API 進行跨站請求
  • 簡單請求
    • 只有允許 GET,HEAD,POST
  • 預檢請求
    • PUT,DELETE,CONNECT,OPTIONS,TRACE,PATCH
  • 推薦參考CORS

上一篇
Web Security 魔法使攻略─SQLI III
下一篇
Web Security 魔法使攻略─XSS
系列文
Web Security 魔法使攻略30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言