为什么img\link\script标签不受同源策略限制
如标题描述:同源策略为了减少xss\CSRF等攻击,但是通过这些是可以获得用户cookie的,还是造成了信息泄露,为什么不限制这些标签呢?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
如标题描述:同源策略为了减少xss\CSRF等攻击,但是通过这些是可以获得用户cookie的,还是造成了信息泄露,为什么不限制这些标签呢?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受
或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(2)
不能完全限制,否则 CDN 和基于 Cookie 的负载均衡就没法做了,还有众多赖以生存的搜索引擎广告主也没法活了(谷歌自己就是全球最大的广告主,你说它能自己阉割自己吗)。
正因为如此,所以 Cookie 才引入 HTTP Only 来解决你说的问题啊。
cookies 不受同源策略限制,主要是历史原因,因为 cookies 在同源策略之前的广泛使用了,直接限制会有兼容性问题,所以后来有了更灵活的 Content-Security-Policy,网站可以自己定制需要的策略。
“用户” cookies 是什么?
例如我在 a.com 设了 cookies A=1,然后引用一个 b.com 的图片,那 b.com 的服务端能获取到 A 这个 cookies 吗?
答:不行的,因为 cookies 是分域名发送的,浏览器请求 b.com 的图片时是不会把 a.com 的 cookies 发到 b.com 的服务端。
但是 b.com 自己设的 B=2,b.com 的服务端是可以获取到的(就是这样实现了广告跟踪)。
因为 cookies 本来就是按域名限制的,加载资源(图片、样式、脚本)是不会泄漏“用户 cookies”,只是有隐私问题(广告跟踪)。
(当然脚本比较特殊,需要设置 cookie 的 HTTP Only 属性,禁止脚本访问 cookies。更严格网站的还会通过 Content-Security-Policy 限制跨域 XHR 发送、限制加载脚本)
另外,就算没有 cookies,CDN、负载均衡还是可以做的,所以这些不是主要原因。