Artikelverzeichnis
-
- 1. Was ist die Same-Origin-Richtlinie und ihre Einschränkungen?
- 2. JSONP-Implementierungsprozess
- 3. CORS muss sowohl vom Browser als auch vom Backend unterstützt werden. IE 8 und 9 erfordern XDomainRequest, um dies zu erreichen.
- 4. Knoten-Middleware-Proxy (zweimal domänenübergreifend)
- 5. Nginx-Reverse-Proxy
- 6. Zusammenfassung
1. Was ist die Same-Origin-Richtlinie und ihre Einschränkungen?
Die Same-Origin-Richtlinie ist eine Konvention. Sie stellt die zentrale und grundlegendste Sicherheitsfunktion des Browsers dar. Wenn die Same-Origin-Richtlinie fehlt, ist der Browser anfällig für XSS-, CSRF- und andere Angriffe. Der sogenannte gleiche Ursprung bedeutet, dass „Protokoll + Domänenname + Port“ gleich sind. Auch wenn zwei verschiedene Domänennamen auf dieselbe IP-Adresse verweisen, stammen sie nicht vom selben Ursprung.
Domänenübergreifend bedeutet nicht, dass die Anforderung nicht gesendet werden kann, die Anforderung gesendet werden kann, der Server die Anforderung empfangen und das Ergebnis normal zurückgeben kann, aber das Ergebnis wird vom Browser abgefangen. Sie fragen sich vielleicht, warum domänenübergreifende Anfragen über Formulare initiiert werden können, warum nicht Ajax? Denn letztendlich soll domänenübergreifend verhindert werden, dass Benutzer Inhalte unter einem anderen Domänennamen lesen. Ajax kann Antworten erhalten, aber Browser denken so ist nicht der Fall. Es ist sicher, daher wird die Antwort abgefangen. Allerdings erhält das Formular keine neuen Inhalte, sodass domänenübergreifende Anfragen initiiert werden können. Es erklärt auch, dass Cross-Domain CSRF nicht vollständig verhindern kann.