CSRF漏洞原理及利用(全)
一、同源策略
同源策略是浏览器的核心安全机制,主要限制不同源的文档或脚本对当前文档的读取、修改等操作,以防止恶意网站窃取数据(如Cookie、LocalStorage)或执行未授权操作(如表单提交、DOM操作)。
1.应用
常见应用场景:限制跨域AJAX请求、阻止跨域访问DOM元素、控制跨域Cookie共享等。 目的:隔离不同源的内容,保护用户数据安全和网站正常运行。
2.同源的比较
“同源”指两个URL的协议、域名、端口三者完全相同,任一不同则为“不同源”。
示例(以http://example.com:80/path为基准):
同源:
http://example.com:80/path2(协议、域名、端口均相同)
不同源:
https://example.com:80/path(协议不同:http vs https)
http://sub.example.com:80/path(域名不同:主域 vs 子域)
http://example.com:8080/