UsubeniFantasy
·
Understanding the Same-Origin Policy Completely
💡
原文日文,约7900字,阅读约需19分钟。
📝
内容提要
同一源策略(SOP)对于前端初学者来说是一种限制。SOP限制了访问不同源资源的能力,但可以通过链接、重定向和表单提交等方法来使用不同源资源。SOP存在是为了防止在线安全问题,并可以通过CORS协议来处理限制。此外,还可以使用postMessage和WebSocket等方法。开发者需要额外努力以适应SOP。
🎯
关键要点
- 同一源策略(SOP)是前端初学者面临的限制。
- 同一源是指相同的协议、主机和端口。
- 访问不同源资源时会遇到一些限制,如Canvas污染、iframe信息获取失败和Ajax请求被阻止。
- 虽然存在限制,但仍可通过链接、重定向和表单提交等方式使用不同源资源。
- SOP的本质是限制对不同源的资源进行修改,只能读取数据。
- SOP的存在是为了防止在线安全问题,如跨站请求伪造(CSRF)攻击。
- CORS协议允许跨源资源共享,开发者需要使用它来处理SOP限制。
- CORS协议通过HTTP请求和响应头来实现跨源资源的访问控制。
- 开发者在使用CORS时需要处理跨源的cookie问题。
- postMessage可用于不同iframe之间的数据通信。
- WebSocket可以绕过同一源策略,但会增加服务器负担。
- JSONP是一种过时的技术,用于跨域通信,但现在几乎不再使用。
➡️
