項目8配置與應(yīng)用Web安全任務(wù)8-1-2設(shè)置web瀏覽器安全目錄CONTENTS.任務(wù)8-1-2設(shè)置Web瀏覽器安全設(shè)置瀏覽器安全級別01安全性設(shè)置03特殊區(qū)域的安全限制05清除瀏覽數(shù)據(jù)02同源策略04任務(wù)描述一危害？任務(wù)8-1-2設(shè)置Web瀏覽器安全這樣的鏈接你點不點？？篡改你的信息（CSRF漏洞利用）1995年，Netscape公司在瀏覽器中引入同源策略。

A網(wǎng)頁設(shè)置的Cookie，B網(wǎng)頁不能打開，除非這兩個網(wǎng)頁“同源”目前，所有瀏覽器都實行這個策略。為什么要用？跨域限制：防止惡意的網(wǎng)站通過跨域請求來獲取用戶的敏感信息任務(wù)8-1-2設(shè)置Web瀏覽器安全怎么限制跨域：同源策略要求網(wǎng)頁的協(xié)議、域名和端口必須完全一致，

才允許跨域名操作。

如果任意一項不同，瀏覽器就會阻止跨域請求。怎么辦？跨域訪問：從一個域名訪問到另外一個域名例如在網(wǎng)站里訪問一個頁面跳轉(zhuǎn)到網(wǎng)站里例如在前端開發(fā)中使用了不同的后端服務(wù)器進行數(shù)據(jù)交互

123同源策略定義與重要性

是瀏覽器的安全機制

通過限制不同源之間的交互，防止惡意網(wǎng)站利用JavaScript等腳本訪問和操作第三方資源，有效降低網(wǎng)絡(luò)攻擊風(fēng)險工作原理同源策略的實際應(yīng)用

實施同源策略，瀏覽器能夠阻止來自不同源的惡意交互123同源策略04判斷資源的同源性：比較URL協(xié)議、端口和主機同源：比較的元素相同，允許相互間的交互，否則將被阻隔任務(wù)8-1-2設(shè)置Web瀏覽器安全如：防止惡意網(wǎng)站讀取已登錄用戶的數(shù)據(jù)或公司內(nèi)網(wǎng)信息，并將這些數(shù)據(jù)泄露給攻擊者如果缺少了同源策略，瀏覽器很容易收到CSRF和XSS等攻擊。保證用戶信息安全，防止惡意竊取網(wǎng)站數(shù)據(jù)。URL地址為：/dir/page.html，判斷與下列地址是否同源/dir2/other.html

同源/dir/inner/another.htm

路徑不同https:///secure.html

同源不同源協(xié)議不同:81/dir/etc.html

不同源端口不同http://news./dir/other.html不同源主機不同路徑不同任務(wù)8-1-2設(shè)置Web瀏覽器安全端口協(xié)議主機主機任務(wù)實施二注意事項：1.同源策略僅適用于腳本某網(wǎng)站可以通過相應(yīng)的HTML標(biāo)簽訪問不同來源網(wǎng)站上的圖像、CSS和動態(tài)加載腳本等資源2.跨站請求偽造（CSRF）利用同源策略不適用于HTML標(biāo)簽的缺陷同源策略04任務(wù)8-1-2設(shè)置Web瀏覽器安全哪些URL與/dir/page.html同源?/dir/other.html不同源/dir/page2.html路徑不同/dir/other.html同源不同源協(xié)議不同:81/dir/other.html不同源端口不同主機不同任務(wù)