同源政策是浏覽器的安全基礎。同源政策的作用是讓"document"互相獨立。
影響“源”的因素:host(域名或IP,如果是IP位址則看做一個根域名),子域名,端口,協定。
注意:對于目前頁面來說,頁面記憶體放的javascript檔案的域并不重要,重要的是加載javascript頁面所在的域是什麼。
在浏覽器中<script>、<iframe>、<img>、<link>等标簽都可以跨域加載資源,而不受同源政策的此案隻。這些帶“src”屬性的标簽每次加載時,實際上是由浏覽器發起了一次GET請求。不同于XMLHttpRequest的是,通過src屬性加載的資源,浏覽器限制了javascript的權限,使其不能讀寫傳回的内容。
注意跨域通路方案的安全基礎就是新人“javascript無法控制該HTTP頭”。
http://www.qq.com/crossdomain.xml
結果:
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
<allow-access-from domain="*.qq.com"/>
<allow-access-from domain="*.gtimg.com"/>
</cross-domain-policy>
目前的浏覽器多是采用多程序架構,将浏覽器的各個功能子產品分開,各個浏覽器執行個體分開,當一個程序崩潰時,也不會影響到其他的程序。
Sandbox可以通過封裝的API通路本地檔案系統,記憶體,資料庫,網絡的請求。
浏覽器插件會程式設計浏覽器安全的一個威脅來源。
惡意網址攔截一般都是浏覽器周期性的從指定的伺服器擷取一份最新的惡意網址黑名單。
很多浏覽器插件都是使用javascript編寫的,但是這些浏覽器插件的權限比一般頁面的javascript的權限高。
浏覽器是WEB的入口,浏覽器的安全也左右着WEB的安全。
本文轉自 夢朝思夕 51CTO部落格,原文連結:http://blog.51cto.com/qiangmzsx/1859546
![vue搭建過程及出現問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)