源:相同的HOST;相同的协议;相同的端口;
同源策略:同源策略限制了一个源中加载的文本或脚本与来自其他源中资源的交互方式。同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源。
资源:DOM;通过AJAX请求的网络资源;Cookie;WebStorage,webSql;
同源策略的影响:XMLHttp request或<img>标签时则会受到同源策略的约束。Cookie,LocalStorage和IndexDB无法读取。DOM无法获取
解决方案:片段识别符;window.name;跨文档通信API;window.postMessage
授权:用来给浏览器指示允许一个页面可否在<frame><iframe><object>中展现的标记。网站可以使用此功能来确保自己的网站内容没有被嵌到别人的网站中去,也避免了点击劫持的攻击。这是response头个现在正在使用的方式,但以后可能被CSP的frame-ancestors取代。(仅当访问文档的用户使用支持 X-Frame-Options 的浏览器时,此附加的安全性才会被提供)
具体使用方式:X-Frame-Options:DENY //这个页面不允许被以frame的方式加载;同域名也无法加载;
X-Frame-Options:SAMEORIGIN //这个页面只允许同源页面加载;
X-Frame-OPtions:<url> //这个页面只能被特定的域加载;
附相关文章链接:https://developer.mozilla.org/zh-CN/docs/web/http/headers/x-frame-options
内容安全策略:简称CSP,是通过编码在HTTP响应头中的指令来实施策略。它是一种以可信白名单作机制,来限制网站中是否包含某来源内容。默认配置下不允许执行内联代码(<script>块内容,内联事件,内联样式),以及禁止执行eval(),newFunction(),setTimeout([string],...)和setInterval([string],...)。 (如果CSP配置的好,可以从根本上杜绝XSS)