标签:origin Web 4.2 cookie iframe 攻击者 Control com 页面
源(origin): <protocol, domain, port>
- Protocol: http://, file://, ftp://
- Domain: microsoft.com, google.com
- Port: 80, 8080, 21, 3128, etc
SOP功能
➢ 保护 cookie:cookie只会被提交给产生它的源 ➢ 防止 JavaScript 访问 iframe 中的其他源的内容 SOP限制以下情形:攻击者要访问www.myzoo.com的cookie,在攻击者页面创建iframe,将www.myzoo.com的页面放在iframe中,该iframe是攻击者页面的一部分,如果用户在未登出情况下访问了攻击者页面,那么用户的cookie会包含在iframe页面中,攻击者可使用js代码,通过iframe访问www.myzoo.com的cookie ➢ 防止 Ajax 跨域请求 ➢ ….安全和应用(跨域的需求)的折中: CORS
在 HTTP Header 中加入相应的头部- Access-Control-Allow-Origin
- Access-Control-Request-Method
- Access-Control-Allow-Headers
- Access-Control-Allow-Credential:默认情况下Ajax跨越时不携带cookie。该头部要求Ajax携带cookie,同时要求在接收方设置允许接收Ajax携带的cookie
- …..
<?php
header("Access-Control-Allow-Origin:*");
$myfile = fopen("test.txt","w") ;
fwrite($myfile,$_GET["cookie"]);
fclose($myfile);
?>
标签:origin,Web,4.2,cookie,iframe,攻击者,Control,com,页面 来源: https://www.cnblogs.com/tianjiazhen/p/12235890.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。