同源策略

简介

同源策略是一个重要的安全策略,它用于限制一个源(origin)的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

同源的定义

如果两个 URL 的 协议(protocol)、端口号(port,如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。

下表给出了与 URL http://x2d.co/http/cross-domain/same-origin 的源进行对比的示例:

URL结果原因
http://x2d.co/http/同源只有路径不同
https://x2d.co/http/cross-domain/same-origin失败协议不同
http://x2d.co:81/http/cross-domain/same-origin失败端口不同 (http:// 默认端口是80)
http://tools.x2d.co/json/失败主机不同

源的继承

在页面中通过 about:blank 或 javascript: URL 执行的脚本会继承打开该 URL 的文档的源,因为这些类型的 URLs 没有包含源服务器的相关信息。

例如,about:blank 通常作为父脚本写入内容的新的空白弹出窗口的 URL(例如,通过 Window.open() )。 如果此弹出窗口也包含 JavaScript,则该脚本将从创建它的脚本那里继承对应的源。

注意:在Gecko 6.0之前,如果用户在位置栏中输入 data URLs,data URLs 将继承当前浏览器窗口中网页的安全上下文。

IE 中的特例

Internet Explorer 的同源策略有两个主要的差异点:

  • 授信范围(Trust Zones):两个相互之间高度互信的域名,如 公司内部网域(corporate intranet domains),则不受同源策略限制。

  • 端口:IE 未将端口号纳入到同源策略的检查中,因此 http://x2d.co/http/http://x2d.co:81/http/ 属于同源并且不受任何限制。

这些差异点是不规范的,其它浏览器也未做出支持,但会助于开发基于window RT IE的应用程序。

源的更改

满足某些限制条件的情况下,页面是可以修改它的源。脚本可以将 document.domain 的值设置为其当前域或其当前域的父域。如果将其设置为其当前域的父域,则这个较短的父域将用于后续源检查。

例如:假设 http://tools.x2d.co/json/ 文档中的一个脚本执行以下语句:

document.domain = "x2d.co";

端口号是由浏览器另行检查的。任何对document.domain的赋值操作,都会导致端口号被重写为 null

跨源网络访问

同源策略控制不同源之间的交互,例如在使用XMLHttpRequest<img> 标签时则会受到同源策略的约束。这些交互通常分为三类:

  • 跨域写操作(Cross-origin writes)一般是被允许的。例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加 preflight

  • 跨域资源嵌入(Cross-origin embedding)一般是被允许(后面会举例说明)。

  • 跨域读操作(Cross-origin reads)一般是不被允许的,但常可以通过内嵌资源来巧妙的进行读取访问。例如,你可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法,或 availability of an embedded resource.

以下是可能嵌入跨源的资源的一些示例:

<script src="..."></script> 标签嵌入跨域脚本。语法错误信息只能被同源脚本中捕捉到。

<link rel="stylesheet" href="..."> 标签嵌入CSS。由于CSS的松散的语法规则,CSS的跨域需要一个设置正确的 HTTP 头部 Content-Type

通过 <img> 展示的图片。支持的图片格式包括PNG,JPEG,GIF,BMP,SVG,...

通过 <video><audio> 播放的多媒体资源。

通过 <object><embed><applet> 嵌入的插件。

通过 @font-face 引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。

通过 <iframe> 载入的任何资源。站点可以使用 X-Frame-Options 消息头来阻止这种形式的跨域交互。

如何允许跨源访问

可以使用 CORS 来允许跨源访问。CORSHTTP 的一部分,它允许服务端来指定哪些主机可以从这个服务端加载资源。