1.同源策略如下:URL说明是否允许通信http://www.a.com/a.jshttp://www.a.com/b.js同一域名下允许http://www.a.com/lab/a.jshttp://www.a.com/script/b.js同一域名下不同文件夹允许http://www.a.com...
分类:
Web程序 时间:
2015-02-02 15:49:07
阅读次数:
141
什么是跨域JSONPproxy代理corsxdr 由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表(来源) JSONP 这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载...
分类:
其他好文 时间:
2015-02-01 17:24:28
阅读次数:
240
之前一直对jsonp跨域问题不知道怎么去解答,今天在百度文库看到了一篇文档,很不错,来一个:传送门传送门这篇文档讲的很明白,也很清楚,下面总结下我自己或得到知识:首先,jsonp的出现是解决跨域问题的,这个是我们经常用到的,由于同源策略,一个a.com的网站与b.com的网站无法进行服务器通信,而文...
分类:
Web程序 时间:
2015-01-27 14:48:24
阅读次数:
155
一、什么是同源策略Same Origin Policy同源策略,是一种约定,更是一种约束,约束着浏览器的行为。同源策略是由NetScape网景公司首先提出的一种安全策略,所有支持Javascript的浏览器都必须遵守这一约定,即执行脚本只能访问与之同源的资源。通俗而言,执行在源(或者说域)Serve...
分类:
其他好文 时间:
2015-01-21 23:58:35
阅读次数:
355
当我们在www.a.com这个域下用ajax提交一个请求到www.b.com这个域的时候,默认情况下,浏览器是不允许的,因为违反了浏览器的同源策略。解决方案可以参考笔者的这篇博文:http://www.cnblogs.com/anai/p/4227157.html 这里要讨论的是跨域中遇到的另...
分类:
其他好文 时间:
2015-01-21 15:02:52
阅读次数:
186
做IOS开发的同学经常用到UIWebView,大多时候是加载外部地址,但是有一些时候也会用来加载本地的html文件。
UIWebView加载外部地址的时候遵循了“同源”策略,而加载本地网页的时候却绕够了“同源”策略,导致可以访问系统任意路径。
这就是UIWebView中存在的UXSS漏洞。已知尚未修复该漏洞的App有:微盘、文件全能王、QQ阅读。
漏洞复现方式大体相似,现在微盘为例:
在P...
分类:
移动开发 时间:
2015-01-12 01:41:31
阅读次数:
278
一.什么是同源策略 同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。 为什么需要同源策略,这里举个例子: 假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值...
分类:
其他好文 时间:
2015-01-07 18:20:59
阅读次数:
196
Domain解释一下同源策略同源策略,那些东西是同源可以获取到的如果子域名和顶级域名不同源,在哪里可以设置叫他们同源如何设置可以跨域请求数据?jsonp是做什么的?AjaxAjax是否遵循同源策略?json注入如何利用浏览器策略不同浏览器之间,安全策略有哪些不同,比如chrome,firefox,I...
分类:
Web程序 时间:
2015-01-07 12:40:01
阅读次数:
338
同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。 为什么需要同源策略,这里举个例子: 假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏...
分类:
编程语言 时间:
2015-01-07 10:55:48
阅读次数:
156
在进行AJAX的时候会经常产生这样一个报错: 看红字,这是浏览器的同源策略,使跨域进行的AJAX无效。注意,不是不发送AJAX请求(其实就是HTTP请求),而是请求了,也返回了,但浏览器‘咔擦’一声,下面没有了。对比下fiddler和浏览器抓的包的异同: fiddler: chrome...
分类:
Web程序 时间:
2015-01-04 21:16:05
阅读次数:
169
