深入淺析同源策略和跨域訪問

1. 什么是同源策略

理解跨域首先必須要了解同源策略。同源策略是瀏覽器上為安全性考慮實施的非常重要的安全策略。

何謂同源:

URL由協議、域名、端口和路徑組成，如果兩個URL的協議、域名和端口相同，則表示他們同源。

同源策略:

瀏覽器的同源策略，限制了來自不同源的"document"或腳本，對當前"document"讀取或設置某些屬性。（白帽子講web安全[1]）

從一個域上加載的腳本不允許訪問另外一個域的文檔屬性。

舉個例子：

比如一個惡意網站的頁面通過iframe嵌入了銀行的登錄頁面（二者不同源），如果沒有同源限制，惡意網頁上的javascript腳本就可以在用戶登錄銀行的時候獲取用戶名和密碼。

在瀏覽器中，<script>、<img>、<iframe>、<link>等標簽都可以加載跨域資源，而不受同源限制，但瀏覽器限制了JavaScript的權限使其不能讀、寫加載的內容。

另外同源策略只對網頁的HTML文檔做了限制，對加載的其他靜態資源如javascript、css、圖片等仍然認為屬于同源。

代碼示例（http://localhost:8080/和http://localhost:8081由于端口不同而不同源）：

http://localhost:8080/test.html     <html>       <head><title>test same origin policy</title></head>       <body>         <iframe id="test" src="http://localhost:8081/test2.html"></iframe>         <script type="text/javascript">           document.getElementById("test").contentDocument.body.innerHTML = "write somthing";         </script>       </body>     </html> http://localhost:8081/test2.html     <html>       <head><title>test same origin policy</title></head>       <body>         Testing.       </body>     </html>

在Firefox中會得到如下錯誤：

Error: Permission denied to access property 'body'

    Document對象的domain屬性存放著裝載文檔的服務器的主機名，可以設置它。
    例如來自"blog.csdn.net"和來自"bbs.csdn.net"的頁面，都將document.domain設置為"csdn.net"，則來自兩個子域名的腳本即可相互訪問。
    出于安全的考慮，不能設置為其他主domain，比如http://www.csdn.net/不能設置為sina.com

2. Ajax跨域

Ajax (XMLHttpRequest)請求受到同源策略的限制。

Ajax通過XMLHttpRequest能夠與遠程的服務器進行信息交互，另外XMLHttpRequest是一個純粹的Javascript對象，這樣的交互過程，是在后臺進行的，用戶不易察覺。

因此，XMLHTTP實際上已經突破了原有的Javascript的安全限制。

舉個例子：

假設某網站引用了其它站點的javascript，這個站點被compromise并在javascript中加入獲取用戶輸入并通過ajax提交給其他站點，這樣就可以源源不斷收集信息。

或者某網站因為存在漏洞導致XSS注入了javascript腳本，這個腳本就可以通過ajax獲取用戶信息并通過ajax提交給其他站點，這樣就可以源源不斷收集信息。

如果我們又想利用XMLHTTP的無刷新異步交互能力，又不愿意公然突破Javascript的安全策略，可以選擇的方案就是給XMLHTTP加上嚴格的同源限制。

這樣的安全策略，很類似于Applet的安全策略。IFrame的限制還僅僅是不能訪問跨域HTMLDOM中的數據，而XMLHTTP則根本上限制了跨域請求的提交。（實際上下面提到了CORS已經放寬了限制）

隨著Ajax技術和網絡服務的發展，對跨域的要求也越來越強烈。下面介紹Ajax的跨域技術。

2.1 JSONP

JSONP技術實際和Ajax沒有關系。我們知道<script>標簽可以加載跨域的javascript腳本，并且被加載的腳本和當前文檔屬于同一個域。因此在文檔中可以調用/訪問腳本中的數據和函數。如果javascript腳本中的數據是動態生成的，那么只要在文檔中動態創建<script>標簽就可以實現和服務端的數據交互。

JSONP就是利用<script>標簽的跨域能力實現跨域數據的訪問，請求動態生成的JavaScript腳本同時帶一個callback函數名作為參數。其中callback函數本地文檔的JavaScript函數，服務器端動態生成的腳本會產生數據，并在代碼中以產生的數據為參數調用callback函數。當這段腳本加載到本地文檔時，callback函數就被調用。

第一個站點的測試頁面（http://localhost:8080/test.html）：

<script src="http://localhost:8081/test_data.js">   <script>     function test_handler(data) {       console.log(data);     } </script>

服務器端的Javascript腳本（http://localhost:8081/test_data.js）：

test_handler('{"data": "something"}');

為了動態實現JSONP請求，可以使用Javascript動態插入<script>標簽：

<script type="text/javascript">     // this shows dynamic script insertion     var script = document.createElement('script');     script.setAttribute('src', url);     // load the script     document.getElementsByTagName('head')[0].appendChild(script);  </script>

JSONP協議封裝了上述步驟，jQuery中統一是現在AJAX中(其中data type為JSONP)：
http://localhost:8080/test?callback=test_handler

為了支持JSONP協議，服務器端必須提供特別的支持[2]，另外JSONP只支持GET請求。

2.2 Proxy

使用代理方式跨域更加直接，因為SOP的限制是瀏覽器實現的。如果請求不是從瀏覽器發起的，就不存在跨域問題了。

使用本方法跨域步驟如下：

1. 把訪問其它域的請求替換為本域的請求

2. 本域的請求是服務器端的動態腳本負責轉發實際的請求
各種服務器的Reverse Proxy功能都可以非常方便的實現請求的轉發，如Apache httpd + mod_proxy。

Eg.

為了通過Ajax從http://localhost:8080訪問http://localhost:8081/api，可以將請求發往http://localhost:8080/api。

然后利用Apache Web服務器的Reverse Proxy功能做如下配置：

ProxyPass /api http://localhost:8081/api

2.3 CORS

2.3.1 Cross origin resource sharing

“Cross-origin resource sharing (CORS) is a mechanism that allows a web page to make XMLHttpRequests to another domain. Such "cross-domain" requests would otherwise be forbidden by web browsers, per the same origin security policy. CORS defines a way in which the browser and the server can interact to determine whether or not to allow the cross-origin request. It is more powerful than only allowing same-origin requests, but it is more secure than simply allowing all such cross-origin requests.” ----Wikipedia[3]

通過在HTTP Header中加入擴展字段，服務器在相應網頁頭部加入字段表示允許訪問的domain和HTTP method，客戶端檢查自己的域是否在允許列表中，決定是否處理響應。

實現的基礎是JavaScript不能夠操作HTTP Header。某些瀏覽器插件實際上是具有這個能力的。

服務器端在HTTP的響應頭中加入（頁面層次的控制模式）：

   Access-Control-Allow-Origin: example.com
   Access-Control-Request-Method: GET, POST
   Access-Control-Allow-Headers: Content-Type, Authorization, Accept, Range, Origin
   Access-Control-Expose-Headers: Content-Range
   Access-Control-Max-Age: 3600

多個域名之間用逗號分隔，表示對所示域名提供跨域訪問權限。"*"表示允許所有域名的跨域訪問。

客戶端可以有兩種行為：

1. 發送OPTIONS請求，請求Access-Control信息。如果自己的域名在允許的訪問列表中，則發送真正的請求，否則放棄請求發送。

2. 直接發送請求，然后檢查response的Access-Control信息，如果自己的域名在允許的訪問列表中，則讀取response body，否則放棄。

本質上服務端的response內容已經到達本地，JavaScript決定是否要去讀取。

  Support: [Javascript Web Applications]  * IE >= 8 (需要安裝caveat)  * Firefox >= 3  * Safari 完全支持  * Chrome 完全支持  * Opera 不支持

2.3.2 測試

測試頁面http://localhost:8080/test3.html使用jquery發送Ajax請求。

<html>     <head><title>testing cross sop</title></head>     <body>       Testing.       <script src="jquery-2.0.0.min.js"></script>       <script type='text/javascript'>         $.ajax({           url: 'http://localhost:8000/hello',           success: function(data) {             alert(data);           },           error: function() {             alert('error');           }         });       </script>     </body> </html>

測試Restful API(http://localhost:8000/hello/{name})使用bottle.py來host。

  from bottle import route, run, response  @route('/hello')  def index():    return 'Hello World.'  run(host='localhost', port=8000)

測試1：

測試正常的跨域請求的行為。

測試結果：

        1. 跨域GET請求已經發出，請求header中帶有
            Origin    http://localhost:8080
        2. 服務器端正確給出response
        3. Javascript拒絕讀取數據，在firebug中發現reponse為空，并且觸發error回調

測試2：

        測試支持CORS的服務器的跨域請求行為。
        對Restful API做如下改動，在response中加入header：
             def index():
                #Add CORS header#
                response.set_header("Access-Control-Allow-Origin", "http://localhost:8080")
                return 'Hello World.'

測試結果：

        1. 跨域GET請求已經發出，請求header中帶有
            Origin    http://localhost:8080
        2. 服務器端正確給出response
        3. 客戶端正常獲取數據

測試3：

測試OPTIONS請求獲取CORS信息。
對客戶端的Ajax請求增加header：

$.ajax({      url: 'http://localhost:8000/hello',      headers: {'Content-Type': 'text/html'},      success: function(data) {        alert(data);      },      error: function() {        alert('error');      }    });

對Restful API做如下改動：

   @route('/hello', method = ['OPTIONS', 'GET'])      def index():        if request.method == 'OPTIONS':          return ''        return 'Hello World.'

測試結果：

    1. Ajax函數會首先發送OPTIONS請求
    2. 針對OPTIONS請求服務器
    3. 客戶端發現沒有CORS header后不會發送GET請求

測試4：

增加服務器端對OPTIONS方法的處理。
對Restful API做如下改動：

 @route('/hello', method = ['OPTIONS', 'GET'])      def index():        response.headers['Access-Control-Allow-Origin'] = 'http://localhost:8080'        response.headers['Access-Control-Allow-Methods'] = 'GET, OPTIONS'        response.headers['Access-Control-Allow-Headers'] = 'Origin, Accept, Content-Type'        if request.method == 'OPTIONS':          return ''        return 'Hello World.'

測試結果：

        1. Ajax函數會首先發送OPTIONS請求
        2. 針對OPTIONS請求服務器
        3. 客戶端匹配CORS header中的allow headers and orgin后會正確發送GET請求并獲取結果

測試發現，Access-Control-Allow-Headers是必須的。

CORS協議提升了Ajax的跨域能力，但也增加了風險。一旦網站被注入腳本或XSS攻擊，將非常方便的獲取用戶信息并悄悄傳遞出去。

4. Cookie 同源策略

Cookie中的同源只關注域名，忽略協議和端口。所以https://localhost:8080/和http://localhost:8081/的Cookie是共享的。

5. Flash/SilverLight跨域

瀏覽器的各種插件也存在跨域需求。通常是通過在服務器配置crossdomain.xml[4]，設置本服務允許哪些域名的跨域訪問。
客戶端會首先請求此文件，如果發現自己的域名在訪問列表里，就發起真正的請求，否則不發送請求。

 <?xml version="1.0"?>      <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">      <cross-domain-policy>      <allow-access-from domain="*"/>      <allow-http-request-headers-from domain="*" headers="*"/>    </cross-domain-policy>

通常crossdomain.xml放置在網站根目錄。

6. 總結

互聯網的發展催生了跨域訪問的需求，各種跨域方法和協議滿足了需求但也增加了各種風險。尤其是XSS和CSRF等攻擊的盛行也得益于此。

了解這些技術背景有助于在實際項目中熟練應用并規避各種安全風險。