客户端安全的基础是同源策略,什么是同源策略呢?就是限制了不同源的“document”或脚本,对当前“document”读取或者设置属性。有一点需要注意对于当前页面来说页面内存放JS的域并不重要,重要的是加载js页面所在的域是什么。例如在a.com下加载了<script src="b.com/b.js"></script>。但是b.js是运行在a.com页面中的,所以b.js的源就是a.com。而非b.com。在同源策略的限制下是不能跨域访问资源的,随着web发展跨域资源共享,越来越迫切。这就催生了各种安全问题,常见的攻击类型有:跨站脚本攻击,跨站点请求伪造,点击劫持等。
跨站脚本攻击(xss):
他指通过“html注入”,篡改了网页,加入了恶意脚本从而在用户浏览网页时控制了用户的浏览器的行为。例如将用户的输入显示到页面上,如果用户输入:<script>alert(1)</script>;用户就可以注入js。这种攻击是相当具有威胁性的,假如说我可以向当前你浏览的页面中注入我的脚本,那么我就可以读取你的cookie,通过cookie就可以不用登录,进入你某个网站的账号(cookie劫持攻击),这是非常危险的。