同源策略
什么是同源,两个页面拥有相同的协议、端口、域名(指向同一个ip的不同域名不算同源) 就是同源,浏览器规定,不同源的Cookie SeesionStorage LocalStorage IndexDB无法相互读取,无法获得不同源的dom和js对象,无法发送ajax请求。
同源策略是浏览器最核心也最基本的安全功能。
如果没有同源策略,可能会出现CSRF攻击和XSS攻击。
所以同源策略是通过限制前端的行为,防止针对服务器的攻击。
CSRF攻击
Cross-Site Request Forgery,这是一种利用带有用户登陆状态的cookie进行安全操作的攻击方式。
攻击步骤
- 用户登陆网站A(被攻击对象)
- 用户在A未关闭的情况下打开B(攻击者)
- B发起对网站A服务端的请求,携带合法的cookie。
如何防范
XSS攻击
又叫CSS(Cross Site Script)攻击,是指攻击者在被攻击的Web页面里插入恶意的Javascript代码,当其他用户浏览该网页时,嵌入在Web里面的恶意代码执行。属于被动式的攻击。
如何防范
- 过滤输入:对用户提交的内容进行可靠的输入验证
- 转义输出:不解释恶意标签
如何解决跨域问题
日常工作中总会存在需要跨源访问资源的时候,比如node所在的server与更后台的server之间的通信。那么我们如果解决呢?
CORS
CORS(Cross-Origin Resources Sharing)是W3C标准,也就是官方站出来解决跨域问题了, 它需要客户端和服务器同时支持。
简单请求
什么是简单请求,即HEAD GET POST,并且Header只能
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:application/x-www-form-urlencoded、 multipart/form-data、text/plain
请求步骤
- 客户端发起简单请求,header携带Origin,表示协议+域名+端口
- 浏览器根据服务端的设置,判断是否在允许源,若允许,则
Reponse Header加上-
Access-Control-Allow-Origin:表示服务端允许的请求源,*标识任何外域,多个源,分隔可选字段 -
Access-Control-Allow-Credentials(optional):false表示是否允许发送Cookie,设置为true
同时,ajax请求设置withCredentials = true(或者fetch请求credentials值为include) 且Access-Control-Allow-Origin不为*,浏览器的cookie就能发送到服务端.
-
非简单请求
简单请求之外的其余请求,就是非简单请求。浏览器发出CORS非简单请求,会在正式通信之前,增加了一次OPTIONS查询请求,称为"预检"请求(preflight),用于确认服务器是否允许跨域。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段,只有得到肯定的答复,浏览器才会发出正式的XMLHttpRequest请求。
服务端如何支持CORS
- Access-Control-Allow-Origin(必填):*或者具体的站点
- Access-Control-Allow-Methods(必填):*或者允许的跨域请求方法
- Access-Control-Expose-Headers(可选):仅在预检请求的响应头中有效,表示服务器允许携带的请求头。当CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
- Access-Control-Allow-Credentials(可选):是否允许发送cookie,默认不发送。
- Access-Control-Max-Age(可选):本次预检请求的有效期
JSONP
其实现在已经2023年了,我不知道解释JSONP的意义何在,但架不住面试的时候可能会问,这里就浅聊一下。
JSONP可以work主要是因为浏览器认为它用自己的script标签加载的跨源script为同源,对于同源策略有一个很关键的点,同源策略并非应用于跨源窗口中的所有对象的所有属性,只应用于大多数属性,尤其是Document对象几乎所有属性。
JSONP的原理就是动态创建script标签,然后通过src进行跨域请求,前端提供数据处理的回调函数,服务端配合执行回调函数,放入要回传的数据
