《白帽子讲WEB安全》学习笔记之第2章 浏览器安全
第2章浏览器安全 2.1同源策略 同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。 影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。 注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascript页面所在的域是什么。 在浏览器中<script>、<iframe>、<img>、<link>等标签都可以跨域加载资源,而不受同源策略的此案只。这些带“src”属性的标签每次加载时,实际上是由浏览器发起了一次GET请求。不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了javascript的权限,使其不能读写返回的内容。 注意跨域访问方案的安全基础就是新人“javascript无法控制该HTTP头”。 http://www.qq.com/crossdomain.xml 结果: This XML file does not appear to have any style information ass...
