對于軟件開發(fā)者來說，理解同源策略勇皇，可以很好地解決了一個痛點(diǎn)罩句，** 不同域名下的資源讀寫 !**

古代的楚河漢界明確地規(guī)定了雙方的活動界限，如果沒有這些界限敛摘，天下必將大亂门烂。同樣，在我們的瀏覽器兄淫，也有著一些界限和策略诅福，才讓 Web 世界之所以能如此美好地呈現(xiàn)在我們面前匾委，這些安全策略有效地保障了用戶計(jì)算機(jī)的本地安全與Web安全。

同源策略

瀏覽器有一個很重要的概念——同源策略(Same-Origin Policy)氓润。所謂同源是指赂乐，域名，協(xié)議咖气，端口相同挨措。不同源的客戶端腳(javascript、ActionScript)本在沒明確授權(quán)的情況下崩溪，不能讀寫對方的資源浅役。

同源策略，它是由 Netscape 提出的一個著名的安全策略伶唯，現(xiàn)在所有支持JavaScript 的瀏覽器都會使用這個策略觉既。
實(shí)際上，這種策略只是一個規(guī)范乳幸，并不是強(qiáng)制要求瞪讼，各大廠商的瀏覽器只是針對同源策略的一種實(shí)現(xiàn)。它是瀏覽器最核心也最基本的安全功能粹断，如果缺少了同源策略符欠，則瀏覽器的正常功能可能都會受到影響∑柯瘢可以說Web是構(gòu)建在同源策略基礎(chǔ)之的希柿。

如果Web世界沒有同源策略，當(dāng)你登錄Gmail郵箱并打開另一個站點(diǎn)時(shí)养筒，這個站點(diǎn)上的JavaScript就可以跨域讀取你的Gmail郵箱數(shù)據(jù)曾撤，這樣整個Web世界就無隱私可言了。

** cookie 劫持 **瀏覽器中的 cookie就變得非常不安全晕粪，a 域名下的網(wǎng)頁盾戴，就可以讀取你瀏覽器中的所有 cookie，如果攻擊者能獲取到用戶登陸憑證的Cookie兵多，甚至可以繞開登陸流程尖啡，直接設(shè)置這個cookie的值，來訪問用戶的賬號剩膘。

舉例說明

• 不同源舉例

• 域名：
  http://www.bigertech.com衅斩、http://bigertech.com、http://bigertech.cn

• 協(xié)議：http怠褐、https

• 端口: http://127.0.0.1:8001畏梆、http://127.0.0.1:8002

• 同源舉例
  http://www.bigertech.com/a、http://www.bigertech.com/b,這兩個url 只是在同一個域名下面的不同目錄，自然是符合同源策略的

安全防御

客戶端的攻擊主要來自javascript的腳本奠涌，一般體現(xiàn)在對未授權(quán)的資源進(jìn)行讀寫操作宪巨。

Web上的資源有很多，有的只有讀權(quán)限溜畅，有的同時(shí)擁有讀和寫的權(quán)限捏卓。比如：HTTP請求頭里的Referer（表示請求來源）只可讀，同源和不同源就是根據(jù)這個Referer值進(jìn)行判斷的慈格， 而document.cookie則具備讀寫權(quán)限怠晴。這樣的區(qū)分也是為了安全上的考慮。

跨域請求

比如：在 a 頁面使用 AJAX 發(fā)送一個請求浴捆，請求的地址是另外一個站點(diǎn)蒜田，
注：
AJAX是Asynchronous JavaScript And XML的縮寫，讓數(shù)據(jù)在后臺進(jìn)行異步傳輸选泻，常見的使用場景有：對網(wǎng)頁的局部數(shù)據(jù)進(jìn)行更新時(shí)冲粤，不需要刷新整個網(wǎng)頁，以節(jié)省帶寬資源页眯。AJAX也是黑客進(jìn)行Web客戶端攻擊常用的技術(shù)梯捕，因?yàn)檫@樣攻擊就可以悄無聲息地在瀏覽器后臺進(jìn)行，做到“殺人無形”餐茵。

點(diǎn)擊查看響應(yīng)數(shù)據(jù)：手機(jī)歸屬地 API
如果使用 ajax 發(fā)送請求，像下面這樣

$.ajax('http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=15850781443');

響應(yīng)數(shù)據(jù)述吸，oop 報(bào)錯了

XMLHttpRequest cannot load http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=15850781443. 
No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.baidu.com' is therefore not allowed access. 

因?yàn)椴煌捶拮澹瑸g覽器把這個操作給攔截了，然后返回一個錯誤給用戶蝌矛。

解決辦法

目標(biāo)站點(diǎn)道批，假如是http://tcc.taobao.com明確返回HTTP響應(yīng)頭：

Access-Control-Allow-Origin: http://www.evil.com   

或者設(shè)置為 *， 允許所有網(wǎng)站進(jìn)行同源訪問入撒，但是這樣也太不安全了隆豹。

用 jsonp 來解決跨域問題

JSONP(JSON with Padding)是一個非官方的協(xié)議，它允許在服務(wù)器端集成Script tags返回至客戶端茅逮，通過javascript callback的形式實(shí)現(xiàn)跨域訪問（這僅僅是JSONP簡單的實(shí)現(xiàn)形式）璃赡。

舉個例子

** 客戶端 **
在客戶端調(diào)用提供JSONP支持的URL Service，獲取JSONP格式數(shù)據(jù)献雅。
比如客戶想訪問http://www.yiwuku.com/myService?jsonp=onCustomerLoaded
假設(shè)客戶期望返回JSON數(shù)據(jù)：["customername1","customername2"]
那么真正返回到客戶端的 數(shù)數(shù)據(jù)：

callbackFunction([“customername1","customername2"])

<script type="text/javascript">
      function onCustomerLoaded(result, methodName){
          conssole.log(result);//  輸出結(jié)果 ["customername1","customername2"]
      }
</script>
<script type="text/javascript" src="http://www.yiwuku.com/myService?jsonp=onCustomerLoaded"></script>

服務(wù)器端：

String callback = request.getParameter("callback");
out.println(callback + "('" + data+ "')");

或者使用 jquery 的ajax 解決方案

$.ajax({   
  url: 'http://localhost:8080/test2/searchJSONResult.action',  
  type: "GET",   
  dataType: 'jsonp',   
  data: {name:”ZhangHuihua”}, timeout: 5000,   
  success: function (json) {  
    //客戶端jquery預(yù)先定義好的callback函數(shù),成功獲取跨域服務(wù)器上的json數(shù)據(jù)后,會動態(tài)執(zhí)行這個callback函數(shù)   
    alert(json);   
  },   
  error: function (){  
    alert("請求失數锟肌！");   
   }  
});

HTML中的script標(biāo)簽可以加載并執(zhí)行其他域的JavaScript挺身，于是我們可以通過script標(biāo)記來動態(tài)加載其他域的資源侯谁。JSONP易于實(shí)現(xiàn)，但是也會存在一些安全隱患，如果第三方的腳本隨意地執(zhí)行墙贱，那么它就可以篡改頁面內(nèi)容热芹，截獲敏感數(shù)據(jù)。但是在受信任的雙方傳遞數(shù)據(jù)惨撇，JSONP是非常合適的選擇伊脓。

jsonp 帶來的問題

JSONP為解決跨站問題帶來便利的同時(shí)，也存在一定的潛在風(fēng)險(xiǎn)串纺，下面以實(shí)例說明其風(fēng)險(xiǎn)丽旅。比如jsonpTest.htm提供jsonp格式的調(diào)用，返回如下面格式的callBack({"json":"jsonTest"})的數(shù)據(jù)纺棺。

• 腳本注入
  未對回調(diào)的函數(shù)名以及輸入內(nèi)容進(jìn)行過兩次榄笙。比如用戶輸入如下面請求:
  xxx.com/jsonpTest.htm?jsonp=alert('OK');
  則若服務(wù)器不過濾，響應(yīng)內(nèi)容為alert("OK");{"json":"jsonTest"}
  如果 jsonp 請求為：

xxx.com/jsonpTest.htm?jsonp=<img onclick=”xxx”/>

則若服務(wù)器不過濾祷蝌，響應(yīng)內(nèi)容為:
<img onclick=”xxx”/>;{xx}
用戶點(diǎn)擊圖片茅撞，也會有xss攻擊。

• 惡意攻擊
  對輸入的內(nèi)容進(jìn)行安全轉(zhuǎn)義過濾巨朦，卻未限定jsonp回調(diào)的合法的字符米丘，下面參數(shù)經(jīng)過安全轉(zhuǎn)義后仍然不變。while(true){alert(document.cookie)} 攻擊者就可以使用此參數(shù)對用戶進(jìn)行惡搞糊啡。
• 解決辦法
  • 對輸出的內(nèi)容進(jìn)行必要的安全轉(zhuǎn)義
  • 限定jsonp的回調(diào)方法名的安全字符范圍為(a-zA-Z0-9$ )
  • 設(shè)置響應(yīng)類型是非json或javascript類型拄查，比如text/html。防止攻擊者直接輸入jsonp請求的url棚蓄，瀏覽器端收到數(shù)據(jù)時(shí)以js的方式運(yùn)行響應(yīng)的內(nèi)容堕扶。

跨域的更多解決辦法

• 如果是log之類的簡單單項(xiàng)通信，新建<img>,<script>,<link>,<iframe>元素梭依，通過src稍算，href屬性設(shè)置為目標(biāo)url。實(shí)現(xiàn)跨域請求
• 現(xiàn)代瀏覽器中多窗口通信使用HTML5規(guī)范的 targetWindow.postMessage(data, origin);役拴，其中data是需要發(fā)送的對象糊探，origin是目標(biāo)窗口的origin。window.addEventListener('message', handler, false);handler的event.data是postMessage發(fā)送來的數(shù)據(jù)河闰，event.origin是發(fā)送窗口的origin科平，event.source是發(fā)送消息的窗口引用
• 內(nèi)部服務(wù)器代理請求跨域url，然后返回?cái)?shù)據(jù)
• 跨域請求數(shù)據(jù)姜性，現(xiàn)代瀏覽器可使用HTML5規(guī)范的CORS功能匠抗，只要目標(biāo)服務(wù)器返回HTTP頭部Access-Control-Allow-Origin: 即可像普通ajax一樣訪問跨域資源

參考文獻(xiàn)：

• 百度百科
• 瀏覽器的同源策略
• jsonp突破同源策略，實(shí)現(xiàn)跨域訪問請求
• 跨域資源共享的10種方式