本文共 1042 字,大约阅读时间需要 3 分钟。
同源策略(Same Origin Policy,简称SOP)是浏览器安全模型中的一项核心机制,旨在限制从一个源(即一个网页或一组相关资源)向另一个源发起请求的能力。简单而言,浏览器在加载网页资源时,会根据同源策略限制跨域请求,确保其只允许从同一域名、协议和端口号下加载资源。
这种策略最初由Netscape公司在开发 Navigator 浏览器时引入,用于增强浏览器的安全性。核心思想是:在同一域名、协议(如 HTTP 或 HTTPS)和端口号下,资源可以相互访问和请求,但一旦协议、域名或端口号发生任何变化,就会触发跨域请求,导致浏览器阻止该请求。
同源策略不仅是安全机制,还对网页设计和开发有重要影响。它确保了网页能够在不同的浏览器和设备上稳定运行,同时保护了用户的数据安全。例如,同源策略可以防止恶意脚本从一个域名加载并操作其他域名的资源,从而降低了 XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)的风险。
以下是两个常见技术在同源策略中的表现:
在 Express.js 中,同源策略默认情况下是开启的。开发者可以通过 express.json() 中的 json 和 urlencoded 中的 extended 选项来配置跨域策略。例如:
app.use(express.json({ limit: '5mb' }));app.use(express.urlencoded({ extended: true, limit: '5mb' }));app.use(cors({ origin: 'https://example.com' })); 此外,开发者也可以使用 CORS 中间件来手动管理跨域策略。
在 HTML 中,同源策略由浏览器自动执行。以下是一个简单的例子:
同源策略示例
在此示例中,document.domain 设置为 example.com,而请求的 URL 则使用了不同域名、端口号和协议。由于这些请求的同源性与当前域名不一致,浏览器会自动阻止这些请求,避免潜在的安全风险。
同源策略是浏览器安全模型的重要组成部分,它限制了跨域请求的能力,从而保护了用户的数据安全。通过合理配置跨域策略,开发者可以在确保安全的前提下,实现跨域资源的正常加载和调用。
转载地址:http://fero.baihongyu.com/