本文主要是介绍使用Spring Security框架的同源策略通过iframe页面访问,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
同源策略Same-origin policy是Web应用的一种安全基础策略。它规定同一源中,页面包含的脚本可以访问该源下的其他页面的数据。只有当网址中的协议名、主机名和端口都相同,才认为是同一源。例如,对于 http://www.baidu.com/search和 https://www.baidu.com/search,这两个网址协议名不同,所以认为不是同源。在实际应用中,该策略通过Cookie来判定用户的身份。
基于该策略,用户以身份A访问页面Page1时,Page1页面中包含的脚本Js1会同一身份请求同源的页面PageB,PageB会认可身份A。如果用户访问非同源的网页PageC,即使它包含相同脚本Js1(网址完全相同),也不能以身份A去访问PageB。这样就可以避免敏感信息的泄漏。
同源策略Same-origin policy虽然一定程度上解决了Web安全问题,但也引入了新的安全问题。只要是同源,就被认为是安全的,哪怕同源网页被引入其他非同源的脚本。这就导致了跨站脚本XSS攻击。所以说,同源策略Same-origin policy是XSS攻击的基础。这也是XSS攻击时候,为什么要在同源的网页中寻找注入点的原因。
如果Web应用使用了iframe框架嵌套网页,不使用同源策略无法通过spring security认证。
<security:headers><security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers>这篇关于使用Spring Security框架的同源策略通过iframe页面访问的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
