瀏覽器同源策略以及Script Error錯誤

本文首發(fā)于知乎 《瀏覽器同源策略以及Script Error錯誤》 摊聋,搬運轉(zhuǎn)載請注明出處凭峡,否則追究版權責任族展。

同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用于隔離潛在惡意文件的重要安全機制霞掺。<br />

一個定義

如果兩個頁面的協(xié)議砸紊,端口(如果有指定)和域名都相同,則兩個頁面具有相同的囱挑。

下表給出了相對http://store.company.com/dir/page.html同源檢測的示例:

URL 結(jié)果 原因
http://store.company.com/dir2/other.html 成功
http://store.company.com/dir/inner/another.html 成功
https://store.company.com/secure.html 失敗 不同協(xié)議 ( https和http )
http://store.company.com:81/dir/etc.html 失敗 不同端口 ( 81和80)
http://news.company.com/dir/other.html 失敗 不同域名 ( news和store )<br />

源的繼承

data:URLs獲得一個新的醉顽,空的安全上下文。

在頁面中用 about:blankjavascript: URL 執(zhí)行的腳本會繼承打開該 URL 的文檔的源平挑,因為這些類型的 URLs 沒有明確包含有關原始服務器的信息游添。

例如,about:blank 通常作為父腳本寫入內(nèi)容的新的空白彈出窗口的 URL(例如通熄,通過 Window.open() 機制)唆涝。 如果此彈出窗口也包含代碼,則該代碼將繼承與創(chuàng)建它的腳本相同的源唇辨。data: URL會得到一個新的空的安全上下文廊酣。

script標簽的crossorigin屬性

crossorigin的屬性值可以是anonymoususe-credentials赏枚,如果沒有屬性值或者非法屬性值亡驰,會被瀏覽器默認做anonymous。crossorigin的作用有三個:

  1. crossorigin會讓瀏覽器啟用CORS訪問檢查饿幅,檢查http相應頭的Access-Control-Allow-Origin

  2. 對于傳統(tǒng)script需要跨域獲取的js資源凡辱,控制暴露出其報錯的詳細信息

  3. 對于module script,控制用于跨域請求的憑據(jù)模式

我們在收集錯誤日志的時候栗恩,通常會在window上注冊一個方法來監(jiān)測所有代碼拋出的異常:

window.addEventListener('error', function(msg, url, lineno, colno, error) {
  var string = msg.toLowerCase()
  var substring = "script error"
  if (string.indexOf(substring) > -1){
    alert('Script Error: See Browser Console for Detail')
  } else {
    var message = {
      Message: msg,
      URL:  url,
      Line: lineNo,
      Column: columnNo,
      'Error object': JSON.stringify(error)
    }
    // send error log to server
    record(message)
  }
  return false
})

但是對于跨域js來說透乾,只會給出很少的報錯信息:'error: script error',通過使用crossorigin屬性可以使跨域js暴露出跟同域js同樣的報錯信息磕秤。但是乳乌,資源服務器必須返回一個 Access-Control-Allow-Origin 的header,否則資源無法訪問市咆。

為什么錯誤信息要遵守同源策略钦扭?

如果你在訪問一個惡意網(wǎng)站,頁面上有一段<script src="yourbank.com/index.html">床绪,當發(fā)生了腳本錯誤客情,錯誤信息可能會透露出你是否已經(jīng)登錄了(如果你已經(jīng)登錄了其弊,錯誤信息可能是 “歡迎 Fred...” is undefined,如果你沒登錄膀斋,錯誤信息可能是“請登錄...” is undefined 之類的)梭伐。如果這個惡意網(wǎng)站對很多銀行機構(gòu)進行了該行為,他們很容易就知道你是在訪問哪家銀行仰担,就能做出更具有針對性的釣魚頁面糊识。

最后編輯于
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市摔蓝,隨后出現(xiàn)的幾起案子赂苗,更是在濱河造成了極大的恐慌,老刑警劉巖贮尉,帶你破解...
    沈念sama閱讀 206,839評論 6 482
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件拌滋,死亡現(xiàn)場離奇詭異,居然都是意外死亡猜谚,警方通過查閱死者的電腦和手機败砂,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,543評論 2 382
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來魏铅,“玉大人昌犹,你說我怎么就攤上這事±婪迹” “怎么了斜姥?”我有些...
    開封第一講書人閱讀 153,116評論 0 344
  • 文/不壞的土叔 我叫張陵,是天一觀的道長沧竟。 經(jīng)常有香客問我疾渴,道長,這世上最難降的妖魔是什么屯仗? 我笑而不...
    開封第一講書人閱讀 55,371評論 1 279
  • 正文 為了忘掉前任搞坝,我火速辦了婚禮,結(jié)果婚禮上魁袜,老公的妹妹穿的比我還像新娘桩撮。我一直安慰自己,他們只是感情好峰弹,可當我...
    茶點故事閱讀 64,384評論 5 374
  • 文/花漫 我一把揭開白布店量。 她就那樣靜靜地躺著,像睡著了一般鞠呈。 火紅的嫁衣襯著肌膚如雪融师。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,111評論 1 285
  • 那天蚁吝,我揣著相機與錄音旱爆,去河邊找鬼舀射。 笑死,一個胖子當著我的面吹牛怀伦,可吹牛的內(nèi)容都是我干的脆烟。 我是一名探鬼主播,決...
    沈念sama閱讀 38,416評論 3 400
  • 文/蒼蘭香墨 我猛地睜開眼房待,長吁一口氣:“原來是場噩夢啊……” “哼邢羔!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起桑孩,我...
    開封第一講書人閱讀 37,053評論 0 259
  • 序言:老撾萬榮一對情侶失蹤拜鹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后流椒,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體敏簿,經(jīng)...
    沈念sama閱讀 43,558評論 1 300
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,007評論 2 325
  • 正文 我和宋清朗相戀三年镣隶,在試婚紗的時候發(fā)現(xiàn)自己被綠了极谊。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片诡右。...
    茶點故事閱讀 38,117評論 1 334
  • 序言:一個原本活蹦亂跳的男人離奇死亡安岂,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出帆吻,到底是詐尸還是另有隱情域那,我是刑警寧澤,帶...
    沈念sama閱讀 33,756評論 4 324
  • 正文 年R本政府宣布猜煮,位于F島的核電站次员,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏王带。R本人自食惡果不足惜淑蔚,卻給世界環(huán)境...
    茶點故事閱讀 39,324評論 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望愕撰。 院中可真熱鬧刹衫,春花似錦、人聲如沸搞挣。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,315評論 0 19
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽囱桨。三九已至仓犬,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間舍肠,已是汗流浹背搀继。 一陣腳步聲響...
    開封第一講書人閱讀 31,539評論 1 262
  • 我被黑心中介騙來泰國打工窘面, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人律歼。 一個月前我還...
    沈念sama閱讀 45,578評論 2 355
  • 正文 我出身青樓民镜,卻偏偏與公主長得像,于是被迫代替她去往敵國和親险毁。 傳聞我的和親對象是個殘疾皇子制圈,可洞房花燭夜當晚...
    茶點故事閱讀 42,877評論 2 345