對(duì)于軟件開(kāi)發(fā)者來(lái)說(shuō)，理解同源策略，可以很好地解決了一個(gè)痛點(diǎn)，** 不同域名下的資源讀寫(xiě) !**

古代的楚河漢界明確地規(guī)定了雙方的活動(dòng)界限，如果沒(méi)有這些界限，天下必將大亂。同樣，在我們的瀏覽器，也有著一些界限和策略，才讓 Web 世界之所以能如此美好地呈現(xiàn)在我們面前，這些安全策略有效地保障了用戶計(jì)算機(jī)的本地安全與Web安全。

同源策略

瀏覽器有一個(gè)很重要的概念——同源策略(Same-Origin Policy)。所謂同源是指，域名，協(xié)議，端口相同。不同源的客戶端腳(javascript、ActionScript)本在沒(méi)明確授權(quán)的情況下，不能讀寫(xiě)對(duì)方的資源。

同源策略，它是由 Netscape 提出的一個(gè)著名的安全策略，現(xiàn)在所有支持JavaScript 的瀏覽器都會(huì)使用這個(gè)策略。
實(shí)際上，這種策略只是一個(gè)規(guī)范，并不是強(qiáng)制要求，各大廠商的瀏覽器只是針對(duì)同源策略的一種實(shí)現(xiàn)。它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會(huì)受到影響?？梢哉f(shuō)Web是構(gòu)建在同源策略基礎(chǔ)之的。

如果Web世界沒(méi)有同源策略，當(dāng)你登錄Gmail郵箱并打開(kāi)另一個(gè)站點(diǎn)時(shí)，這個(gè)站點(diǎn)上的JavaScript就可以跨域讀取你的Gmail郵箱數(shù)據(jù)，這樣整個(gè)Web世界就無(wú)隱私可言了。

** cookie 劫持 **瀏覽器中的 cookie就變得非常不安全，a 域名下的網(wǎng)頁(yè)，就可以讀取你瀏覽器中的所有 cookie，如果攻擊者能獲取到用戶登陸憑證的Cookie，甚至可以繞開(kāi)登陸流程，直接設(shè)置這個(gè)cookie的值，來(lái)訪問(wèn)用戶的賬號(hào)。

舉例說(shuō)明

• 不同源舉例

• 域名：
  http://www.bigertech.com、http://bigertech.com、http://bigertech.cn

• 協(xié)議：http、https

• 端口: http://127.0.0.1:8001、http://127.0.0.1:8002

• 同源舉例
  http://www.bigertech.com/a、http://www.bigertech.com/b,這兩個(gè)url 只是在同一個(gè)域名下面的不同目錄，自然是符合同源策略的

安全防御

客戶端的攻擊主要來(lái)自javascript的腳本，一般體現(xiàn)在對(duì)未授權(quán)的資源進(jìn)行讀寫(xiě)操作。

Web上的資源有很多，有的只有讀權(quán)限，有的同時(shí)擁有讀和寫(xiě)的權(quán)限。比如：HTTP請(qǐng)求頭里的Referer（表示請(qǐng)求來(lái)源）只可讀，同源和不同源就是根據(jù)這個(gè)Referer值進(jìn)行判斷的， 而document.cookie則具備讀寫(xiě)權(quán)限。這樣的區(qū)分也是為了安全上的考慮。

跨域請(qǐng)求

比如：在 a 頁(yè)面使用 AJAX 發(fā)送一個(gè)請(qǐng)求，請(qǐng)求的地址是另外一個(gè)站點(diǎn)，
注：
AJAX是Asynchronous JavaScript And XML的縮寫(xiě)，讓數(shù)據(jù)在后臺(tái)進(jìn)行異步傳輸，常見(jiàn)的使用場(chǎng)景有：對(duì)網(wǎng)頁(yè)的局部數(shù)據(jù)進(jìn)行更新時(shí)，不需要刷新整個(gè)網(wǎng)頁(yè)，以節(jié)省帶寬資源。AJAX也是黑客進(jìn)行Web客戶端攻擊常用的技術(shù)，因?yàn)檫@樣攻擊就可以悄無(wú)聲息地在瀏覽器后臺(tái)進(jìn)行，做到“殺人無(wú)形”。

點(diǎn)擊查看響應(yīng)數(shù)據(jù)：手機(jī)歸屬地 API
如果使用 ajax 發(fā)送請(qǐng)求，像下面這樣

$.ajax('http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=15850781443');

響應(yīng)數(shù)據(jù)，oop 報(bào)錯(cuò)了

XMLHttpRequest cannot load http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=15850781443. 
No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.baidu.com' is therefore not allowed access. 

因?yàn)椴煌?，瀏覽器把這個(gè)操作給攔截了，然后返回一個(gè)錯(cuò)誤給用戶。

解決辦法

目標(biāo)站點(diǎn)，假如是http://tcc.taobao.com明確返回HTTP響應(yīng)頭：

Access-Control-Allow-Origin: http://www.evil.com   

或者設(shè)置為 *， 允許所有網(wǎng)站進(jìn)行同源訪問(wèn)，但是這樣也太不安全了。

用 jsonp 來(lái)解決跨域問(wèn)題

JSONP(JSON with Padding)是一個(gè)非官方的協(xié)議，它允許在服務(wù)器端集成Script tags返回至客戶端，通過(guò)javascript callback的形式實(shí)現(xiàn)跨域訪問(wèn)（這僅僅是JSONP簡(jiǎn)單的實(shí)現(xiàn)形式）。

舉個(gè)例子

** 客戶端 **
在客戶端調(diào)用提供JSONP支持的URL Service，獲取JSONP格式數(shù)據(jù)。
比如客戶想訪問(wèn)http://www.yiwuku.com/myService?jsonp=onCustomerLoaded
假設(shè)客戶期望返回JSON數(shù)據(jù)：["customername1","customername2"]
那么真正返回到客戶端的 數(shù)數(shù)據(jù)：

callbackFunction([“customername1","customername2"])

<script type="text/javascript">
      function onCustomerLoaded(result, methodName){
          conssole.log(result);//  輸出結(jié)果 ["customername1","customername2"]
      }
</script>
<script type="text/javascript" src="http://www.yiwuku.com/myService?jsonp=onCustomerLoaded"></script>

服務(wù)器端：

String callback = request.getParameter("callback");
out.println(callback + "('" + data+ "')");

或者使用 jquery 的ajax 解決方案

$.ajax({   
  url: 'http://localhost:8080/test2/searchJSONResult.action',  
  type: "GET",   
  dataType: 'jsonp',   
  data: {name:”ZhangHuihua”}, timeout: 5000,   
  success: function (json) {  
    //客戶端jquery預(yù)先定義好的callback函數(shù),成功獲取跨域服務(wù)器上的json數(shù)據(jù)后,會(huì)動(dòng)態(tài)執(zhí)行這個(gè)callback函數(shù)   
    alert(json);   
  },   
  error: function (){  
    alert("請(qǐng)求失敗！");   
   }  
});

HTML中的script標(biāo)簽可以加載并執(zhí)行其他域的JavaScript，于是我們可以通過(guò)script標(biāo)記來(lái)動(dòng)態(tài)加載其他域的資源。JSONP易于實(shí)現(xiàn)，但是也會(huì)存在一些安全隱患，如果第三方的腳本隨意地執(zhí)行，那么它就可以篡改頁(yè)面內(nèi)容，截獲敏感數(shù)據(jù)。但是在受信任的雙方傳遞數(shù)據(jù)，JSONP是非常合適的選擇。

jsonp 帶來(lái)的問(wèn)題

JSONP為解決跨站問(wèn)題帶來(lái)便利的同時(shí)，也存在一定的潛在風(fēng)險(xiǎn)，下面以實(shí)例說(shuō)明其風(fēng)險(xiǎn)。比如jsonpTest.htm提供jsonp格式的調(diào)用，返回如下面格式的callBack({"json":"jsonTest"})的數(shù)據(jù)。

• 腳本注入
  未對(duì)回調(diào)的函數(shù)名以及輸入內(nèi)容進(jìn)行過(guò)兩次。比如用戶輸入如下面請(qǐng)求:
  xxx.com/jsonpTest.htm?jsonp=alert('OK');
  則若服務(wù)器不過(guò)濾，響應(yīng)內(nèi)容為alert("OK");{"json":"jsonTest"}
  如果 jsonp 請(qǐng)求為：

xxx.com/jsonpTest.htm?jsonp=<img onclick=”xxx”/>

則若服務(wù)器不過(guò)濾，響應(yīng)內(nèi)容為:
<img onclick=”xxx”/>;{xx}
用戶點(diǎn)擊圖片，也會(huì)有xss攻擊。

• 惡意攻擊
  對(duì)輸入的內(nèi)容進(jìn)行安全轉(zhuǎn)義過(guò)濾，卻未限定jsonp回調(diào)的合法的字符，下面參數(shù)經(jīng)過(guò)安全轉(zhuǎn)義后仍然不變。while(true){alert(document.cookie)} 攻擊者就可以使用此參數(shù)對(duì)用戶進(jìn)行惡搞。
• 解決辦法
  • 對(duì)輸出的內(nèi)容進(jìn)行必要的安全轉(zhuǎn)義
  • 限定jsonp的回調(diào)方法名的安全字符范圍為(a-zA-Z0-9$ )
  • 設(shè)置響應(yīng)類型是非json或javascript類型，比如text/html。防止攻擊者直接輸入jsonp請(qǐng)求的url，瀏覽器端收到數(shù)據(jù)時(shí)以js的方式運(yùn)行響應(yīng)的內(nèi)容。

跨域的更多解決辦法

• 如果是log之類的簡(jiǎn)單單項(xiàng)通信，新建<img>,<script>,<link>,<iframe>元素，通過(guò)src，href屬性設(shè)置為目標(biāo)url。實(shí)現(xiàn)跨域請(qǐng)求
• 現(xiàn)代瀏覽器中多窗口通信使用HTML5規(guī)范的 targetWindow.postMessage(data, origin);，其中data是需要發(fā)送的對(duì)象，origin是目標(biāo)窗口的origin。window.addEventListener('message', handler, false);handler的event.data是postMessage發(fā)送來(lái)的數(shù)據(jù)，event.origin是發(fā)送窗口的origin，event.source是發(fā)送消息的窗口引用
• 內(nèi)部服務(wù)器代理請(qǐng)求跨域url，然后返回?cái)?shù)據(jù)
• 跨域請(qǐng)求數(shù)據(jù)，現(xiàn)代瀏覽器可使用HTML5規(guī)范的CORS功能，只要目標(biāo)服務(wù)器返回HTTP頭部Access-Control-Allow-Origin: 即可像普通ajax一樣訪問(wèn)跨域資源

參考文獻(xiàn)：

• 百度百科
• 瀏覽器的同源策略
• jsonp突破同源策略，實(shí)現(xiàn)跨域訪問(wèn)請(qǐng)求
• 跨域資源共享的10種方式