摘要:帶著這個(gè)問題查了一些資料�����,講同源策略的很多����,很多地方都說這是安全的基石,但是沒看到哪里明確的提到這只是瀏覽器的行為�����,和服務(wù)端沒有關(guān)系���。
前段時(shí)間寫了個(gè)前后端分離的項(xiàng)目����,前后端都是我一個(gè)人完成���,通信都是通過接口進(jìn)行的����,這時(shí)候就要面對接口安全的問題,api無法使用laravel框架提供的csrf-token等安全措施�����,我只做了個(gè)簡單的基于session的驗(yàn)證�����。我的所有api都是通過ajax來進(jìn)行的�,心想既然有跨域限制,不允許跨域的話是不是就萬事大吉了呢����?跨域限制僅僅是瀏覽器的行為嗎?服務(wù)器有跨域限制嗎�����?
(此處有誤���,可以使用csrf-token��,但是在發(fā)起post請求前必須獲取到cookie中的token����,將其加入header中�����,可以加在單頁的入口html里�,或者來一次get請求)
如果只是瀏覽器的行為,那么就能輕松繞過了�����,沒有意義��。
帶著這個(gè)問題查了一些資料��,講同源策略的很多����,很多地方都說這是web安全的基石,但是沒看到哪里明確的提到這只是瀏覽器的行為�����,和服務(wù)端��、http沒有關(guān)系。
于是自己做個(gè)實(shí)驗(yàn)咯�����,實(shí)驗(yàn)步驟如下:
在阿里云服務(wù)器上用beego起一個(gè)后端應(yīng)用���,弄一個(gè)test接口��,不設(shè)置Access-Control-Allow-Origin
服務(wù)器上寫一個(gè)靜態(tài)頁面����,有個(gè)按鈕點(diǎn)擊發(fā)送ajax請求test接口
本地弄一個(gè)同樣的頁面
本地弄一個(gè)代理服務(wù)器���,轉(zhuǎn)發(fā)test至阿里云服務(wù)器
分別進(jìn)行如下測試:
線上頁面在瀏覽器中發(fā)請求到線上服務(wù)器
本地頁面在瀏覽器中發(fā)請求到線上服務(wù)器
修改allow-origin為*�����,本地頁面在瀏覽器中發(fā)請求到線上服務(wù)器
不設(shè)置allow-origin�,本地頁面在瀏覽器中通過代理服務(wù)器請求接口
不設(shè)置allow-origin���,使用postman等工具請求接口
測試結(jié)果:除了第二種情況�,其他的均能進(jìn)行跨域請求,結(jié)論就是跨域限制僅僅是瀏覽器的行為�����,通過代理服務(wù)器�,或者其他工具發(fā)送請求就能輕松繞過。
那么�����,同源策略是不是沒有什么卵用呢�����?
錯(cuò)�����,同源策略是web安全的基石���,當(dāng)然很重要了
因?yàn)椋?/p>
隨著互聯(lián)網(wǎng)的發(fā)展,"同源政策"越來越嚴(yán)格�。目前,如果非同源�����,共有三種行為受到限制。
(1) Cookie�����、LocalStorage 和 IndexDB 無法讀取�����。
(2) DOM 無法獲得�����。
(3) AJAX 請求不能發(fā)送����。
如果在其他域名能讀qq.com的cookie那就相當(dāng)于它能拿到登陸權(quán)限
reference:
瀏覽器同源政策及其規(guī)避方法-阮一峰
瀏覽器的同源策略-mdn
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/11296.html
