萬盛學電腦網

 萬盛學電腦網 >> 腳本專題 >> javascript >> js同源策略詳解

js同源策略詳解

          本文較為詳細的分析了js同源策略。分享給大家供大家參考。具體如下:

          概念:同源策略是客戶端腳本(尤其是Javascript)的重要的安全度量標准。它最早出自Netscape Navigator2.0,其目的是防止某個文檔或腳本從多個不同源裝載。

          這裡的同源指的是:同協議,同域名和同端口。

          精髓:

         它的精髓很簡單:它認為自任何站點裝載的信賴內容是不安全的。當被浏覽器半信半疑的腳本運行在沙箱時,它們應該只被允許訪問來自同一站點的資源,而不是那些來自其它站點可能懷有惡意的資源。

         為什麼要有同源限制?

        我們舉例說明:比如一個黑客程序,他利用IFrame把真正的銀行登錄頁面嵌到他的頁面上,當你使用真實的用戶名,密碼登錄時,他的頁面就可以通過Javascript讀取到你的表單中input中的內容,這樣用戶名,密碼就輕松到手了。

        Ajax應用:

        在Ajax應用中這種安全限制被突破。

        在普通的Javascript應用中,我們可以修改Frame的href,或者IFrame的src,以實現GET方式的跨域提交,但是卻不能訪問跨域的Frame/IFrame中的內容。

       而Ajax它通過XMLHTTP進行異步交互,這個對象同樣能夠與遠程的服務器進行信息交互,而且更加危險的是,XMLHTTP是一    個純粹的Javascript對象,這樣的交互過程,是在後台進行的,不被用戶察覺。因此,XMLHTTP實際上已經突破了原有的Javascript的安全限制。

       如果我們又想利用XMLHTTP的無刷新異步交互能力,又不願意公然突破Javascript的安全策略,可以選擇的方案就是給XMLHTTP加上嚴格的同源限制。這樣的安全策略,很類似於Applet的安全策略。IFrame的限制還僅僅是不能訪問跨域HTMLDOM中的數據,而XMLHTTP則根本上限制了跨域請求的提交。

       浏覽器支持:而IE其實給這個安全策略開了兩個想當然的後門,一個是:他假設你的本地文件,自然清楚將會訪問什麼內容,所以任何你的本地文件訪問外部數據, 都不會收到任何的警告。另一個是:當你訪問的網站腳本打算訪問跨域的信息時, 他居然僅僅是彈出一個對話框來提醒你一下。如果一個欺詐網站,采用這樣的手段,提供一個假頁面給你,然後通過XMLHTTP幫你遠程登錄真實的銀行服務器。只要10個用戶裡,有一個用戶糊塗一下,點了一個確定。他們的盜取帳號行為,就成功了! 你想想看,這是何等危險的事情!

        FireFox就不是這樣的做法,缺省的情況下,FireFox根本就不支持跨域的XMLHTTP請求,根本就不給黑客這樣的機會。

       避免同源策略:

       JSON和動態腳本標記

<script type="text/javascript"
src="http://yoursiteweb.com/findItinerary?username=sachiko&
reservationNum=1234&output=json&callback=showItinerary" />

        當 JavaScript 代碼動態地插入 <script> 標記時,浏覽器會訪問 src 屬性中的 URL。這樣會導致將查詢字符串中的信息發送給服務器。在 清單 1中,所傳遞的是 username 和 reservation 作為名稱值對傳遞。此外,查詢字符串還包含向服務器請求的輸出格式和回調函數的名稱(即 showItinerary)。<script> 標記加載後,會執行回調函數,並通過回調函數的參數把從服務返回的信息傳遞給該回調函數。

Ajax代理

        Ajax 代理是一種應用級代理服務器,用於調解 Web 浏覽器和服務器之間的 HTTP 請求和響應。Ajax 代理允許 Web 浏覽器繞過同源策略,這樣便可以使用 XMLHttpRequest 訪問第三方服務器。要實現這種繞過,有如下兩種方法可供選擇:
客戶端 Web 應用程序知道第三方 URL 並將該 URL 作為 HTTP 請求中的一個請求參數傳遞給 Ajax 代理。然後,代理將請求轉發給 [url]www.jb51.net[/url]。注意,可以把代理服務器的使用隱藏在 Web應用程序開發人員所使用的 Ajax 庫的實現中。對於 Web 應用程序開發人員而言,它看上去可能完全不具有同源策略。
客戶端 Web 應用程序不知道第三方 URL,並且嘗試通過 HTTP 訪問 Ajax 代理服務器上的資源。通過一個預定義的編碼規則,Ajax 代理將 所請求的 URL 轉換為第三方服務器的 URL 並代表客戶檢索內容。這樣一來,Web 應用程序開發人員看上去就像是在和代理服務器直接進行通信。

Greasemonkey

        Greasemonkey 是一個 Firefox 擴展,它允許用戶動態地對 Web 頁面的樣式和內容進行修改。Greasemonkey 用戶可以把用戶腳本(user script)文件與一個 URL 集合建立關聯。當浏覽器通過該 URL 集合加載頁面時,便會執行這些腳本。Greasemonkey 為用戶腳本的 API 提供了額外的許可(與運行在浏覽器沙盒中的腳本的許可相比較)。

        GM_XMLHttpRequest 是其中的一個 API,它從本質上說就是一個不具有同源策略的 XMLHttpRequest。用戶腳本可以將浏覽的內置 XMLHttpRequest 替代為 GM_XMLHttpRequest,從而許可 XMLHttpRequest 執行跨域訪問。

        GM_XMLHttpRequest 的使用只能通過用戶同意的途徑才能受到保護。也就是說,Greasemonkey 只有在建立新用戶腳本與特定 URL 的集合之間的關聯時才會要求用戶配置。然而,不難想象一些用戶可能會被欺騙,在沒有完全理解其後果時就接受該安裝。

       希望本文所述對大家的javascript程序設計有所幫助。

copyright © 萬盛學電腦網 all rights reserved