xss - 同源策略的威胁模型是什么?

标签 xss security same-origin-policy cors

http://en.wikipedia.org/wiki/Same_origin_policy

同源策略可防止一个站点的脚本与另一个站点通信。 Wiki 说这是一个“重要的安全概念”,但我不清楚它可以防止什么威胁。

我了解来自一个站点的 cookie 不应与另一个站点共享,但这可以(并且已经)单独执行。

CORS 标准 http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing提供绕过同源策略的合法系统。据推测,它不允许同源策略旨在阻止的任何威胁。

看着 CORS,我什至不太清楚谁受到了什么保护。 CORS 由浏览器强制执行,因此它不会保护任一站点免受浏览器的影响。并且限制是由脚本想要与之对话的站点决定的,因此它似乎并没有保护用户免受任何站点的侵害。

那么同源策略到底是干什么用的呢?

最佳答案

文章@EricLaw 提到,“Same Origin Policy Part 1: No Peeking”很好。

这是我们为什么需要“同源策略”的一个简单示例:

通过使用 iframe(“内嵌框架”将另一个 HTML 文档放入框架中),可以在您自己的网页中显示其他网页。假设您显示 www.yourbank.com。用户输入他们的银行信息。如果您可以阅读该页面的内部 HTML(需要使用脚本),则可以轻松阅读银行帐户信息,然后繁荣。安全漏洞。

因此,我们需要同源策略来确保一个网页不能使用脚本来读取另一个网页的信息。

关于xss - 同源策略的威胁模型是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6744283/

上一篇:wolfram-mathematica - 如何在 Mathematica 中配置并行远程内核?

下一篇:使用 memcpy 复制二维数组

相关文章:

security - 由 ASP.NET 4 <% : %> or Razor encoding but are caught by AntiXSS 获取的 XSS 漏洞示例

forms - XSS 注入(inject) php 表单 firefox

python - 使用来自用户的 url 的服务器端 urllib2.urlopen 的安全注意事项

javascript - jQuery .attr() 方法 XSS 安全吗?

javascript - 防止用户输入的脚本在网页中运行

security - 我应该区分错误登录和错误密码错误代码吗?

.net - 如何将 RUNAS/NETONLY 功能构建到 (C#/.NET/WinForms) 程序中?

node.js - 通过正常的浏览器连接代理phantomjs?

security - 为什么需要同源策略的简单示例

javascript - 跨域从 iframe 与 window 通信

©2024 IT工具网  联系我们