Web漏洞知识：同源策略

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

 

---

目录

浏览器：

同源策略：

DOM&Cookie：

---

      同源策略，这里简单的介绍一下方便理解什么是同源策略？

 

浏览器：

    Web浏览器本质上是代表用户与网站进行交互的用户代理。通常，用户访问一个网站使用Web浏览器： Web浏览器会代表用户将HTTP请求转发到网站上，并反过来将该网站的响应内容显示为网页。Web浏览器使用的安全模型被称为同源策略（SOP）：用于执行对Web应用程序的一些访问限制。

同源策略：

    同源：如果两个页面使用相同的协议(protocol)，端口和主机（域名），那么这两个页面就属于同一个源。

    同源策略：限制了一个源(origin)中加载文本或脚本与来自其他源中资源的交互方式；是客户端脚本（尤其是Javascript）的重要的安全度量标准。

    重点：同源策略认为来自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时，它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。

    拓展知识：

          单源策略（Single Origin Policy）：它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性和完整性。同源策略能阻止网站脚本访问其他站点使用的脚本，同时也阻止它与其他站点脚本交互

 

DOM&Cookie：

DOM：

     文档对象模型(Document Object Module)，是处理可扩展标志语言的标准编程接，是针对于xml但是扩展用于HTML的应用程序编程接口，定义了访问和操作HTML的文档的标准。

      W3C文档对象模型是中立于平台和语言之间的接口，它允许程序和脚本动态的访问和更新文档的内容、结构、样式。总之HTML是关于如何获取、修改、添加和删除HTML元素的标准。

DOM 分层节点
      • DOM的分层节点一般被称作是DOM树，树中的所有节点都可以通过脚本语言例如JavaScript进行访问，所有HTMlL元素节点都可以被创建、添加或者删除。

在DOM分层节点中，页面就是用分层节点图表示的

        • 整个文档是一个文档节点，就想是树的根一样
        • 每个HTML元素都是元素节点
        • HTML元素内的文本就是文本节点
        • 每个HTML属性时属性节点
        • HTML DOM 方法
        • HTML DOM方法就是可以对HTML DOM 节点进行的操作，执行的动作
 

Cookie：

      为了辨别用户身份，进行session跟踪而存储在用户本地终端上的数据(通常经常加密)。

什么是Cookie？ 

        • 1. Cookie是由服务器生成并存储在客户端文件系统(.txt格式)中的key/value对,当浏览器再次请求该站点上的页面时,就会自动把保存的Cookie发回服务器

        • 2. Cookie使得浏览器可以咋访问同一个站点的不同请求间传递数据,让服务器程序识别不同的客户端

        • 3. 典型应用:保存用户登录状态,跟踪用户行为,页面定制,保存购物车等需要保存全局变量的场合

 

参考链接：

              https://www.jianshu.com/p/7a8b6dc33700

              https://blog.csdn.net/qq_36647038/article/details/81673670

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---