time 
设为首页】【收藏本站
当前位置: 主页 > WEB教程 > Html教程 > HTML5安全风险详析之一:CORS攻击

HTML5安全风险详析之一:CORS攻击

时间:2012-10-16 19:43 点击:1138次 字体:[ ]




一、从SOP到CORS

        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:

HTML5安全风险详析之一:CORS攻击_www.fengfly.com
 

 

        后来出现了CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。具体可以参见我的这篇文章《HTML5安全:CORS(跨域资源共享)简介》。示意如下图所示:

HTML5安全风险详析之一:CORS攻击_www.fengfly.com
 

 



本文地址 : http://www.fengfly.com/plus/view-209649-1.html
标签: HTML5
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码: