日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

一、瀏覽器介紹

創(chuàng)新互聯(lián)建站專注于網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)頁設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站開發(fā)。公司秉持“客戶至上,用心服務(wù)”的宗旨,從客戶的利益和觀點(diǎn)出發(fā),讓客戶在網(wǎng)絡(luò)營銷中找到自己的駐足之地。尊重和關(guān)懷每一位客戶，用嚴(yán)謹(jǐn)?shù)膽B(tài)度對待客戶，用專業(yè)的服務(wù)創(chuàng)造價(jià)值，成為客戶值得信賴的朋友，為客戶解除后顧之憂。

對于Web應(yīng)用來說，瀏覽器是最重要的客戶端。

目前瀏覽器五花八門多得不得了，除了Chrome、IE、Firefox、Safari、Opera這些國外的瀏覽器外，百度、騰訊、360、淘寶、搜狗、傲游之類的，反正能做的都做了。

瀏覽器雖然這么多，但瀏覽器內(nèi)核主要就以下4種：

Trident：IE使用的內(nèi)核。

Gecko：Firefox使用的內(nèi)核。

WebKit：Safair和Chrome使用的內(nèi)核。WebKit由蘋果發(fā)明，Chrome也用了，但是Google又開發(fā)了V8引擎替換掉了WebKit中的Javascript引擎。

Presto：Opera使用的內(nèi)核。

國內(nèi)的瀏覽器基本都是雙核瀏覽器，使用基于WebKit的內(nèi)核高速瀏覽常用網(wǎng)站，使用Trident內(nèi)核兼容網(wǎng)銀等網(wǎng)站。

二、同源策略

同源策略是瀏覽器最基本的安全策略，它認(rèn)為任何站點(diǎn)的內(nèi)容都是不安全的，所以當(dāng)腳本運(yùn)行時(shí)，只被允許訪問來自同一站點(diǎn)的資源。

同源是指域名、協(xié)議、端口都相同。

如果沒有同源策略，就會發(fā)生下面這樣的問題：

惡意網(wǎng)站用一個(gè)iframe把真實(shí)的銀行登錄頁放到他的頁面上，當(dāng)用戶使用用戶名密碼登錄時(shí)，父頁面的javascript就可以讀取到銀行登錄頁表單中的內(nèi)容。

甚至瀏覽器的1個(gè)Tab頁打開了惡意網(wǎng)站，另一個(gè)Tab頁打開了銀行網(wǎng)站，惡意網(wǎng)站中的javascript可以讀取到銀行網(wǎng)站的內(nèi)容。這樣銀行卡和密碼就能被輕易拿走。#p#

三、跨域訪問

由于同源策略的原因，瀏覽器對跨域訪問做了很多限制，但有時(shí)我們的確需要做跨域訪問，那要怎么辦?主要有以下幾種情況：

1. iframe的跨域訪問

同域名下，父頁面可以通過document.getElementById(‘_iframe’).contentWindow.document訪問子頁面的內(nèi)容，但不同域名下會出現(xiàn)類似下面的錯(cuò)誤：

Uncaught SecurityError: Blocked a frame with origin “http://a.com” from accessing a frame with origin “http://b.com”. Protocols, domains, and ports must match.

有兩種解決方法：

1). 當(dāng)主域名相同，子域名不同時(shí)，比較容易解決，只需設(shè)置相同的document.domain即可。

如http://a.a.com/a.html使用iframe載入http://b.a.com/b.html，且在a.html中有Javascript要修改b.html中元素的內(nèi)容時(shí)，可以像下面的代碼那樣操作。

a.html

b.html

 
 
 
 

  
  
  
  
 
  
  
  
  
   
  
  
  
  
     
  
  
  
  
   
  
  
  
  
   
  
  
  
  
    b.html
 
  
  
  
  
   
  
  
  
  
 
 
 
 
 

2). 當(dāng)主域名不同時(shí)，就非常麻煩了。大致的方法像下面描述的那樣：

a.com下有a.html;

a.html創(chuàng)建iframe加載b.com下的b.html，可在加載b.html時(shí)通過?或#將參數(shù)傳遞到b.html中;

b.html加載后，可以通過提取location.search或location.hash中的內(nèi)容獲取a.html傳過來的參數(shù);

b.html創(chuàng)建一個(gè)iframe，加載a.com下的c.html，并且參數(shù)也通過?或#傳給c.html;

因?yàn)閏.html和a.html是相同域名，所以c.html可以使用parent.parent訪問到a.html的對象，這樣也就可以將b.html需要傳遞的參數(shù)傳回到a.html中。#p#

2. Ajax的跨域訪問

Ajax主要通過XMLHttpRequest對象實(shí)現(xiàn)，但是如果通過XMLHttpRequest訪問不同域名下的數(shù)據(jù)，瀏覽器會出現(xiàn)類似下面的錯(cuò)誤：

這時(shí)可由以下兩種方法解決：

1). 使用script代替XMLHttpRequest，也就是JSONP的方法。利用script標(biāo)簽的src下加載的js不受同源策略限制，并且加載后的js運(yùn)行在當(dāng)前頁面的域下，所以可自由操作當(dāng)前頁面的內(nèi)容。

下面的代碼演示了在a.com下的a.html通過b.com下的b.js中的內(nèi)容來更新自身的p標(biāo)簽。

下面的代碼演示了在a.com下的a.html通過b.com下的b.js中的內(nèi)容來更新自身的p標(biāo)簽。

a.html

 

 

 

 

 

 

 

 
 
 
 

  
  
  
  
 
  
  
  
  
   
  
  
  
  
     
  
  
  
  
   
  
  
  
  
   
  
  
  
  
    a.html
 
  
  
  
  
     
  
  
  
  
   
  
  
  
  
 
 
 
 
 

 

 

 

b.js

update_p("content from b.js");

在實(shí)際使用中，通常a.html會將update_p以callback參數(shù)名傳遞給b.com的服務(wù)器，服務(wù)器動態(tài)生成數(shù)據(jù)后，再用callback參數(shù)值包起來作為響應(yīng)回傳給a.html。

2). 在b.com的服務(wù)器返回信息中增加以下頭信息：

Access-Control-Allow-Origin: http://a.com

Access-Control-Allow-Methods: GET

此時(shí)瀏覽器便允許a.com讀取使用GET請求b.com的內(nèi)容。

對于flash來說，會要求在網(wǎng)站根目錄下放一個(gè)名為crossdomain.xml的文件，以指明允許訪問的域名來源。文件中的內(nèi)容類似下面的樣子：

 

#p#

3. 使用HTML5的postMessage方法實(shí)現(xiàn)跨域訪問

HTML5增加了跨文檔消息傳輸，下面的例子實(shí)現(xiàn)了使用postMessage在不同域間傳遞消息：

a.html

b.html

 
 
 
 

  
  
  
  
 
  
  
  
  
   
  
  
  
  
     
  
  
  
  
   
  
  
  
  
   
  
  
  
  
    b.html
 
  
  
  
  
   
  
  
  
  
 
 
 
 
 

在postMessage中要指定接收方的域名，如果發(fā)現(xiàn)目標(biāo)頁面的域名不正確，將拋出類似下面這樣的錯(cuò)誤：

Failed to execute ‘postMessage’ on ‘DOMWindow’: The target origin provided (‘http://c.com’) does not match the recipient window’s origin (‘http://b.com’).

瀏覽器對跨域訪問的限制是出于安全考慮的，所以在使用一些方法實(shí)現(xiàn)跨域訪問時(shí)要特別小心。

 

 

 

文章題目：Web安全技術(shù)之瀏覽器的跨域訪問
鏈接分享：http://www.dlmjj.cn/article/dpceshc.html