same-origin-policy 第4页 - IT屋-程序员软件开发技术分享社区

同源策略如何解决 XHR、cookies 和跨页面通信的问题?

我了解同源策略是关于限制来自其他域的 javascript 访问页面内容. 我在网上阅读了这些关于同源政策的特别重要点: XmlHttpRequests:如果跨域完成，它们将不起作用.但是，为什么网页首先会向不太受信任的站点发出 xhr 请求呢?不是网页的错吗?那么为什么要施加限制? cookies:如果恶意页面可以查看我的 Facebook cookie，这是不对的.因此，如果 ..

发布时间：2021-07-14 19:49:02 javascript security same-origin-policy 前端开发

同一个应用的不同子域能否防止 XSS 等恶意攻击?

在我的 Rails 应用程序中，我有 2 个子域，一:members.myapp.com，这是所有成员共享的区域(他们可以在其中登录和管理他们的帐户) 二:每个成员在这样的子域上都有自己的网站:member1.myapp.com、member2.myapp.com、member3.myapp.com 等... 想象一下，user1.myapp.com在他的网站上运行了一段恶意的 ..

发布时间：2021-07-14 19:49:00 security xss same-origin-policy 其他开发

同源策略 - 子域和根域

我有一个关于同源政策的问题. 我的公司有许多子域，在其中一个子域中，他们想要一个带有另一个子域的 iframe，并填充 iframe 的表单. 我已经阅读了关于 document.domain 属性的信息，并且我需要在所有三个域中进行设置，但是由于每个子域属于不同的部门，因此我无法轻松测试.所以这是我的问题: 当子域都是 https 而根域不是时，这可能吗?我查看了维基百科上 ..

发布时间：2021-07-14 19:48:56 same-origin-policy 其他开发

为什么需要同源策略的简单示例

我已经阅读了同源策略，但为了更好地理解这个问题:有人可以写一个简单的代码(用任何语言)来演示 SOP 阻止的攻击吗? 在 SOP 出现之前怎么可能攻击别人? 解决方案 window.onload = 函数(){document.getElementById('bank ..

发布时间：2021-07-14 19:48:53 security web same-origin-policy 其他开发

错误:访问属性“x"的权限被拒绝由于使用 Selenium 的相同/跨源策略?

我想访问另一个 HTML 元素内的脚本内容，我可以轻松识别该内容.我试图通过获取父元素然后寻找子元素来找到元素，但我没能做到. 因此，我尝试仅使用 Firefox 中的控制台来获取它，并使用该元素来读取内容，但我无法做到.它看起来像这样: 当我试图对那个元素做任何事情时，我得到了一个指向以下页面的链接和错误: 权限被拒绝访问属性.https://developer.mozilla.o ..

发布时间：2021-06-15 20:02:40 selenium perl same-origin-policy cross-origin-read-blocking 其他开发

由于' X-Frame-Options'，Laravel 4拒绝加载iframe.到' SAMEORIGIN'

我正在构建一个Chrome扩展程序，在该扩展程序中，我将在Gmail主页的弹出窗口中显示一个iframe.由于Gmail主页位于HTTPS中，因此我的iframe也应位于https中.我通过启用mod_ssl配置了apache2，并在apache2上使用了HTTPS.我制作了一个本机PHP页面，并尝试在Gmail页面的框架上显示该页面.我没有问题，它是从本地主机加载页面.但是当我想使用Larave ..

发布时间：2021-05-28 20:52:06 laravel laravel-4 http-headers same-origin-policy 其他开发

iframe可以从allow-same-origin释放自己吗?

如果站点A具有站点B的iframe，并且两个站点位于不同的域，站点B是否可以(通过js或其他方式)知道它是否位于具有allow-same-origin属性的iframe中并阻止它?/p> 我需要向网站B的管理员保证，他们的网站在网站A的iframe中是安全的. 编辑:由于我误解了allow-same-origin的含义，所以这个问题本质上是没有根据的解决方案如果您以包含Web站 ..

发布时间：2021-05-15 19:39:13 javascript iframe same-origin-policy 前端开发

SecurityError:拒绝访问属性“文档"的权限关于跨域对象错误，请使用Selenium Python单击iframe中的下载链接

我正在从事一个自动化项目，并且正在尝试从网站下载pdf.该网站仅包含pdf，但网页的文件类型为HTML.使用PDF.js显示pdf，并且PDF.js查看器也位于iframe中. 当我尝试使用浏览器javascript单击该元素时，返回与跨站点脚本相关的安全性错误. SecurityError:拒绝访问属性“文档"的权限；在跨源对象上我想从我的脚本中使用selenium下载以pyth ..

发布时间：2021-05-15 19:36:43 python selenium iframe same-origin-policy cross-origin-read-blocking Python

在Angular4中提交隐藏表单

要解决我在提交常规HTTP请求时遇到的CORS(跨源请求共享)问题，我需要在Angular 4中提交隐藏表单.我在HTML中做到了这一点没有问题.但是，我不确定如何在Angular中做到这一点.这是我在组件的html中具有的代码: ..

发布时间：2021-05-14 18:51:58 angular forms http hidden same-origin-policy 其他开发

在CORS中发布/获取与放置/删除

我刚刚阅读了此: 同源策略允许使用GET和POST进行跨域HTTP请求方法，但拒绝源间的PUT和DELETE请求 PUT/DELETE有什么特别之处?他们为什么被封锁?无论如何，您都可以在POST方法中进行更新/删除. 使用CORS，为什么使用xml/json而不是application/x-www-form-urlencoded的POST请求被预检? 请解释为什么某些动词 ..

发布时间：2021-04-24 20:40:15 http cors csrf same-origin-policy 其他开发

已从CORS策略阻止从原点'http://...'访问'https://...'处的XMLHttpRequest(Spring Boot& Angular 7)

我正在使用Spring Boot和Angular 7创建一个示例应用程序.在Spring Boot中，我将http转换为https.在角度应用程序中，客户端发布功能无法调用服务器Api发布方法. 它抛出以下错误从源访问' https://localhost:8082/Demo/list 处的XMLHttpRequest访问' http://localhost:4200 '已被CORS ..

发布时间：2021-04-07 18:36:31 spring-boot http-post angular7 same-origin-policy 其他开发

绕过AJAX同源政策-一种特殊情况

当我尝试使用Ajax/JQuery动态刷新页面内容时，我了解了S-O-P问题和限制，但是我想知道是否可以解决我的小问题. 为了便于理解，我将首先解释工作流程. 我确实通过电子邮件(即HTML电子邮件)接收网页.网页以这种方式包含HTML表单，一旦表单完成，就将其发送到适当的Web服务器(php)以存储数据. 我主要使用Outlook 2007作为电子邮件客户端(我在这里什么也没说 ..

发布时间：2021-04-02 20:09:05 php ajax same-origin-policy PHP

外部js文件中的相同来源策略

如果在网站 http://www.mysite.com 中，有一个外部js文件被添加为在 http://www.yoursite.com/new.js js文件中，在 http://www.yoursite.com/new中有一个脚本的ajax调用.js 在这种情况下，是 ..

发布时间：2021-04-02 19:43:01 javascript ajax same-origin-policy 前端开发

iframe页面可以告诉它们何时进行装帧吗?

所以我知道，如果我将iFrame包含在不在同一域中的页面上，则无法通过浏览器策略访问该iframe的DOM，但是iframe中的页面可以执行任何形式的父文档访问? 具体来说，我必须视这个问题而定: 如果嵌入式页面可以分辨出它不是父窗口，则可以使这两个站点都无法进行iframe的操作，这样，如果该页面检测到该页面是被iramed的，则该页面将变为"Go Away"页面或者，您可以将其设置 ..

发布时间：2020-11-26 04:33:40 iframe same-origin-policy 其他开发

为什么“相同来源策略"不阻止POST请求?

我了解跨域，“简单"始终允许GET和POST之类的请求(但您只是无法查看响应)，并且PUT/DELETE被阻止，或者如果您的浏览器支持CORS，则该请求已预检. 我了解，只要响应被阻止，允许发送GET请求都是无害的，因为GET请求应该是安全/幂等的(如果不是，那是开发人员的不当行为他们的API更新). 我从答案中也了解到，GET和POST是用户提出的典型/有意请求，例如在键入时在UR ..

发布时间：2020-11-25 00:19:05 http cors csrf same-origin-policy 其他开发

使用Google Maps JavaScript API v3的Access-Control-Allow-Origin

我目前正在使用Google Maps JavaScript API v3( jobadvisor.scriptonite.be )(荷兰语). 该应用程序已经上线了几个月，并且一切正常.但是在本月初，我开始在本地主机中调整源代码.一周后，我更新了本地主机上的所有内容，并将其保留在那里. 那么，FTR: 我目前在在线主机上拥有旧的应用程序我在本地主机上更新的应用程序然后 ..

发布时间：2020-11-19 06:13:45 google-maps google-maps-api-3 cross-domain same-origin-policy 其他开发

Chrome扩展程序-未捕获的DOMException:阻止了具有原点的框架访问跨源框架

在某人将该帖子标记为另一篇帖子的副本之前，例如:我正在将Firefox Quantum扩展程序移植到Chrome.该扩展程序将iFrame注入到用户的当前网页中.现在，该扩展程序可以在Firefox Quantum中正常运行，您可以在以下位置找到它: iFrame的来源是扩展程序中捆绑的名为"inject.html"的HTML文件. 这里是插入iFrame的缩短的代码(以避免使帖子过长).此 ..

发布时间：2020-11-18 00:15:08 javascript iframe google-chrome-extension same-origin-policy 前端开发

嵌入到iFrame中后，Google Apps脚本不会加载

我正在尝试将我的Google Apps脚本WebApp嵌入到另一个域的iFrame中，但是该Webapp未加载，并且只能看到白屏. webinspector中也没有错误. 该Webapp的发布日期为:以m e身份执行，并且 Access在给定域内有任何人. 根据此实现了我的doGet方法，如下所示: function doGet(e) { return HtmlService ..

发布时间：2020-11-17 02:05:02 google-apps-script iframe web-applications same-origin-policy x-frame-options 其他开发

为什么新的Facebook Javascript SDK不违反“相同来源政策"?

新的Facebook Javascript SDK可以让任何网站以Facebook用户身份登录并获取用户的数据... www.example.com会包含来自Facebook的一些Javascript，但我记得，该脚本被认为是www.example.com的起源，并且无法从facebook.com获取数据，因为它违反了“原产地政策".那不正确吗?如果是这样，脚本如何获取数据? 解决方案 ..

发布时间：2020-11-03 19:23:57 security facebook-graph-api same-origin-policy 其他开发

JavaScript document.domain未捕获DOMException：阻止了具有来源的框架

我正在测试SOP时，我遇到这种情况，两个文档与我期望的域具有相同的关系，当我尝试获取位置时会引发错误。要重现该问题：打开 https://www.google.com 从控制台打开= window.open（“ https://www.google.com”）从同一窗口执行 opened.location。 toString（）将从第二个选项卡的控制台返回正确的位置 do ..

发布时间：2020-10-25 19:23:23 javascript dom same-origin-policy 前端开发

same-origin-policy相关内容