如何在firefox 48中禁用同源策略iframe端口限制？ - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

如何进行渗透测试XSS跨站攻击检测

同源策略 3.2.2.1. 简介同源策略限制了不同源之间如何进行资源交互，是用于隔离潜在恶意文件的重要安全机制。...是否同源由URL决定，URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源。...3.2.2.1.1. file域的同源策略在之前的浏览器中，任意两个file域的URI被认为是同源的。本地磁盘上的任何HTML文件都可以读取本地磁盘上的任何其他文件。...从Gecko 1.9开始，文件使用了更细致的同源策略，只有当源文件的父目录是目标文件的祖先目录时，文件才能读取另一个文件。...源的更改同源策略认为域和子域属于不同的域，例如域名1.a.com 与域名a.com / 域名1.a.com 与域名2.a.com/ xxx.域名1.a.com 与域名1.a.com 两两不同源

3K3 0

Chrome 又搞事情，这种跨域方案要被禁用了！

大家好，我是 ConardLi ，今儿个又给大家来分析浏览器策略了～天天出新策略，业务都要改废了 ... 一句话描述 document.domain 将变为可读属性。...简单的说：如果网页的：协议、域名、端口有一个不一样，它们的资源无法互相访问。我们通过了一些手段，可以绕过这个限制，让非同源的资源也能互相访问，这就是跨域。...这时候，因为浏览器的同源策略限制，我们主页面和 iframe 肯定是无法通信的。...这时候主页面就可以和 iframe 进行通信了（比如访问 iframe 的 document）。另外，还有个场景，我们本地调试的时候可能经常会用到：相同域名、不同端口间的跨域。...，这时候我们可以把它们的 document.domain 都设置为 localhost，就可以跨过端口不同的限制了。

2.1K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

浏览器跨域限制概述

同时，在浏览器（firefox调试）控制台可以看到如下提示：已拦截跨源请求：同源策略禁止读取位于 http://host:port/path 的远程资源。...所以，同源策略是浏览器安全的基础，同源策略一旦出现漏洞被绕过，也将带来非常严重的后果，很多基于同源策略制定的安全方案都将失去效果。三.对于浏览器来说，哪些资源（操作）会受到同源策略的限制？...对于浏览器来说，除了DOM，Cookie，XMLHttpRequest会受到同源策略的限制外，浏览器加载的一些第三方插件也有各自的同源策略。...最常见的一些插件如Flash，Java Applet，Silverlight，Google Gears等都有自己的控制策略。...JSONP 在浏览器中，，，iframe>，等标签都可以跨域加载资源，而不受同源策略的限制。

3.1K1 0

前端开发涉及的Web安全

浏览器安全同源策略同源策略：是浏览器安全功能的基本措施，限制了来自不同源的脚本和document对当前对象的一些属性的获取或者设置。同源策略的影响因素：域名或者IP，子域名，端口，协议。...https://me.github.com F 子域名不是浏览器所有的元素收到同源策略的约束。...同源策略也可能存在漏洞，比如IE8的CSS跨域漏洞。...一些浏览器因为同源策略的原因，限制的了img，iframe等元素对Third-party Cookie的发送，比如IE浏览器，但是Firefox浏览器可以允许发生Third-party Cookie，在...Firefox浏览器可以通过iframe等元素获取Third-party Cookie。

8832 0

最简单实现跨域的方法：使用nginx反向代理

它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。所谓同源是指，域名，协议，端口相同。...浏览器执行javascript脚本时，会检查这个脚本属于那个页面，如果不是同源页面，就不会被执行。同源策略的目的，是防止黑客做一些做奸犯科的勾当。...比如说，如果一个银行的一个应用允许用户上传网页，如果没有同源策略，黑客可以编写一个登陆表单提交到自己的服务器上，得到一个看上去相当高大上的页面。...据说Firefox等可能不支持读取另一个iFrame的内容。 2，jsonp。需要服务器支持。使用script src动态得到一段java代码。是回调页面上的js函数，参数是一个json对象。...这样，这个服务器上所有url都是相同的域名、协议和端口。因此，对于浏览器来说，这些url都是同源的，没有跨域限制。而实际上，这些url实际上由物理服务器提供服务。

2.9K1 0

web跨域解决方案

什么是跨域　在JavaScript中，有一个很重要的安全性限制，被称为“Same-Origin Policy”（同源策略）。...为什么浏览器要实现同源限制?...其中，　　window.location.protocol：指含有URL第一部分的字符串,如http: 　 window.location.host：指包含有URL中主机名:端口号部分的字符串.如...JSONP: JSONP的优点是：它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制；它的兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest...，可以使用它来向其它的window对象发送消息，无论这个window对象是属于同源或不同源，目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法

3K10 0

CSP Level 3浅析&简单的bypass

简单来说，csp就是为了减少xss，csrf等攻击的，是通过控制可信来源的方式，类似于同源策略… CSP以白名单的机制对网站加载或执行的资源起作用。...的来源并没有做任何限制，当然实际环境可能需要iframe标签来内联来包含别的页面… 由于iframe的内联不同源，不无法通过任何方式get cookie，不存在xss漏洞（这也是大多开发者容易造成的想法...script-src http://xxx/js/ 'unsafe-inline'; 我们先尝试构造payload 可以明显的看到被拦了但是我们尝试构造内联脚本能看到成功执行值得庆幸的是由于同源策略...to=lorexxar&&message=_+document.cookie);; 所以，安全性仍然应该被更多仔细考虑… xxxx-src self 一般来说，self代表只接受符合同源策略的... 经过测试发现firefox在CSP规范的施行上还是走在前列，这种请求在firefox上会被拦截（除非同源），在公认安全性比较高的

1.3K2 0

web技术讲解(web安全入门03)

这些脚本可以嵌入到页面中，如 JS 等。也可以以文件的形式单独存放在 Web 服务器的目录里，如.asp、.php、jsp 文件等。...同源策略是禁止 javascript 进行跨域访问的安全策略。...4.1 同源策略的条件 URL 的主机（FQDN：Fully Qualified Domain Name 全程域名）一致 Schema 一致端口号一致同源策略的保护对象不仅仅时 iframe 内文档...比如实现 Ajax 时所使用的 XMLHttpRequest 对象能够访问的 URL 也受到了同源策略的限制。...4.2 同源策略探究准备两个页面 index.html 跨 frame 的读取实验 </head

9661 0

Web 嵌入 | Electron 安全

CSP策略的限制关于 CSP 策略可以查看 CSP | Electron 安全这篇文章 1. iframe 属性 iframe 元素包含全局属性，也就是包含那些所有标签都可以使用的属性 1) allow...权限策略的意义如下: 改变手机和第三方视频自动播放的默认行为限制网站使用相机、麦克风、扬声器等敏感设备允许 iframe 使用全屏 API 如果项目在视口中不可见，则停止对其进行脚本处理，以提高性能...的 sandbox ，这可能会放宽安全措施 allow-same-origin 允许同源策略，可能部分朋友就蒙了，这些 sandbox 的选项不是在默认的限制中启用特权吗？...怎么还来了一个允许同源策略呢？本来不就应该允许同源策略吗？...关闭同源策略如果关闭同源策略，会让不同源的 object 通过 window.parent 获取到渲染进程的上下文吗？

2.2K1 0

【博客同步】跨域详解

概念协议、域名、端口有一个不同即被当作不同的域 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹允许 http://...3.4 JSONP优缺点优点：不像XMLHttpRequest对象实现的Ajax请求受到同源策略的限制；兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持...通过修改document.domain来跨子域浏览器同源策略限制之一是不能通过ajax的方法去请求不同源中的文档。第二个限制是浏览器中不同域的框架之间不能进行js的交互操作。...window.postMessage方法跨域 window.postMessage(message,targetOrigin) 方法是html5的新特性，可以使用它来向其它的window对象发送消息，无论这个window对象是属于同源或不同源...，目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法

2951 0

跨域详解

概念协议、域名、端口有一个不同即被当作不同的域 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹允许 http://...3.4 JSONP优缺点优点：不像XMLHttpRequest对象实现的Ajax请求受到同源策略的限制；兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持...通过修改document.domain来跨子域浏览器同源策略限制之一是不能通过ajax的方法去请求不同源中的文档。第二个限制是浏览器中不同域的框架之间不能进行js的交互操作。...window.postMessage方法跨域 window.postMessage(message,targetOrigin) 方法是html5的新特性，可以使用它来向其它的window对象发送消息，无论这个window对象是属于同源或不同源...，目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法

1.4K7 0

Web存储（Web Storage）

localStorage localStorage 存储的数据是永久性的，除非通过 JavaScript 删除或者用户清除浏览器缓存，否则数据将一直保留在用户的电脑上，永不过期； localStorage 的作用域受同源策略限制...（协议、主机名、端口），同源的文档间共享同样的localStorage数据； localStorage 的作用域也受浏览器厂商限制，Chrome 与 Firefox 中的 localStorage 无法共享...不同之处在于储存数据的有效期与作用域；不是永久性存储，会在浏览器（或选项卡）被关闭时销毁（注：浏览器（或选项卡）刷新时，不会引起 sessionStorage 销毁）； sessionStorage 的作用域不仅受同源策略限制...，而且还被限定在浏览器顶层窗口中；（即：同源的文档渲染在浏览器不同的标签页中，它们之间不共享sessionStorage数据）；（即：如果一个浏览器标签页包含两个 iframe> 元素，它们所包含的文档是同源的

1.6K4 0

跳转与导航 | Electron 安全

之后我们进入到链接中，点击了某个功能，进入到该功能模块中对于应用程序来说，通常不需要在页面中渲染第三方的网页，尤其是在 Electron 中，加载第三方页面可能会导致用户被远程命令执行，因此官方推荐禁用或限制网页跳转...B7%B3%E8%BD%AC 公众号开启了留言功能，欢迎大家留言讨论～这篇文章也提供了 PDF 版本及 Github ，见文末 0x02 效果展示点击链接后 0x03 官方安全建议官方建议是禁用或限制网页跳转...pathname: '/robots.txt', search: '', searchParams: URLSearchParams {}, hash: '' } 其中 origin 就是我们所谓的同源策略里的源...，它包含协议、主机名、端口号所以官方的防御代码就是验证是不是与 https://example.com 同源的，非同源则直接组织 2....总结网页跳转和导航的触发方法很多，但最终效果几乎都是一致的，就是在当前窗口或新窗口加载页面，在较新的版本中， will-navigate 能够有效地监听和阻断导航行为，开发者可以根据实际情况，考虑禁用或者限制导航行为

6481 0

跨域资源共享的各种方式（持续更新）

同源策略在客户端编程语言中，如JavaScript和ActionScript，同源策略是一个很重要的安全理念，它在保证数据的安全性方面有着重要的意义。...同源策略规定跨域之间的脚本是隔离的，一个域的脚本不能访问和操作另外一个域的绝大部分属性和方法。那么什么叫相同域，什么叫不同的域呢？...当两个域具有相同的协议(如http), 相同的端口(如80)，相同的host（如www.example.org)，那么我们就可以认为它们是相同的域。...同源策略还应该对一些特殊情况做处理，比如限制file协议下脚本的访问权限。...受到同源策略的影响，跨域资源共享就会受到制约。但是随着人们的实践和浏览器的进步，目前在跨域请求的技巧上，有很多宝贵经验的沉淀和积累。

7163 0

界面劫持之点击劫持

最主要的是，由于拖放操作不受浏览器“同源策略“影响，用户可以把一个域的内容拖放到另一个不同的域，由此攻击者可能通过劫持某个页面的拖放操作实现对其他页面链接的窃取，从而获得 session key,token...03 点击劫持原理3.1透明层+iframe透明层使用了 CSS 中的透明属性，在（Chrome，FireFox,Safari,Opera浏览器）中：opacity：0.5；数值从0到1，数值越小透明度越高...DENY 表示任何网页都不能使用 iframe 载入该网页，SAMEORIGIN 表示符合同源策略的网页可以使用 iframe 载入该网页。...除了 Chrome 和 safari 以外，还支持第三个参数 Allow-From（白名单限制）。...需要指出的情况是，如果用户浏览器禁用 JavaScript 脚本，那么 FrameBusting 代码也无法正常运行。

1.2K2 0

八种方式实现跨域请求

前端开发中我们经常会遇到跨域请求的情况，处理跨域请求方式很多，特整理如下：浏览器的同源策略首选，跨域是由于浏览器端的同源策略限制所得来。...同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。那么，何为同源呢？...只要网站的协议protocol、主机host、端口号port 这三个中的任意一个不同，网站间的数据请求与传输便构成了跨域调用，会受到同源策略的限制。...浏览器的同源策略，出于防范跨站脚本的攻击，禁止客户端脚本（如 JavaScript）对不同域的服务进行跨站调用（通常指使用 XMLHttpRequest 请求）。...方式八：代理同源策略是针对浏览器端进行的限制，可以通过服务器端来解决该问题 DomainA客户端（浏览器） => DomainA服务器 => DomainB服务器 => DomainA客户端（浏览器

1.9K4 1

前端面试ajax考点汇总_javascript常见面试题

在 Ajax应用中信息是如何在浏览器和服务器之间传递的通过XML数据或者字符串 8、在浏览器端如何得到服务器端响应的XML数据。...由于同源策略的限制，xmlhttprequest只允许请求当前源（域名、协议、端口）的资源，为了实现跨域请求，可以通过script标签实现，然后在服务器端输出json数据并执行回调函数，从而解决跨域的数据请求...27、解释一下同源策略？概念：同源策略是客户端脚本（尤其是JavaScript）的重要安全度量标准。...同源策略是指：协议、端口、域名相同，同源策略是一种安全协议，指一段脚本只能读取来自同一来源的窗口和文档的属性。 28、为什么会有同源策略？...:默认端口是8083 同源策略带来的麻烦：ajax在不同域名下的请求无法实现，如果说想要请求其他来源的js文件，或者json数据，那么可以通过jsonp来解决 29、Ajax的最大的特点是什么。

5.3K3 0

跨域详解【原创】

3.4 JSONP优缺点优点：不像XMLHttpRequest对象实现的Ajax请求受到同源策略的限制；兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持...通过修改document.domain来跨子域浏览器同源策略限制之一是不能通过ajax的方法去请求不同源中的文档。第二个限制是浏览器中不同域的框架之间不能进行js的交互操作。...但document.domain的设置是有限制的，只能把document.domain设置成自身或更高一级的父域，且主域必须相同。...window.postMessage方法跨域 window.postMessage(message,targetOrigin) 方法是html5的新特性，可以使用它来向其它的window对象发送消息，无论这个window对象是属于同源或不同源...，目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法【By CS逍遥剑仙】未经允许不得转载：禅林阆苑 » 跨域详解【原创】

1.5K5 0

浏览器安全之同源策略

同源策略同源策略（same origin policy），是一种约定，它是浏览器最核心也是最基本的安全功能。...同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互，是用于隔离潜在恶意文件的关键安全机制；关于这一点我们后面会举例说明。如果缺少了同源策略浏览器的安全使用会受到很大的影响。...可以说web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略限制了来自不同源的“document”或者“script”，对当前“document”读取或者设置某些属性。...如果没有同源策略，一段其他网站的JavaScript脚本可以随意读取甚至修改另一网站的页面。为了防止这种情况发生，浏览器提出了“Origin”-源，这个概念来自不同源的对象无法互相干扰。...不同于XMLHttpRequest的是，通过src加载的资源，浏览器限制了JavaScript的权限，使其不能读、写返回的内容。

4653 0

Web安全(一)---浏览器同源策略

#1.2 同源策略的限制 #1.2.1 不能读写Cookie、Session Storage、Local Storage、Cache、Indexed DB #1.2.2 DOM #1.2.3 异步请求...同源是指同协议、同域名、同端口。 ?...注：IE 未将端口号加入到同源策略的组成部分之中在浏览器中, 、、iframe>、等标签都可以跨域加载,而不受浏览器的同源策略的限制, 这些带src属性的标签每次加载的时候...,实际上都是浏览器发起一次GET请求, 不同于普通请求(XMLHTTPRequest)的是,通过src属性加载的资源,浏览器限制了JavaScript的权限,使其不能读写src加载返回的内容浏览器同源策略中...,除了上述的几个标签可以跨域加载外,其他出现跨域请求时,请求会发到跨域的服务器,并且会服务器会返回数据,只不过浏览器"拒收"返回的数据 #1.2 同源策略的限制浏览器的同源策略目的是为了保护用户的信息安全

4.5K3 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭