黑客攻防技术宝典-浏览器实战篇

第1章 浏览器知识

同源策略

浏览器中最重要的安全措施就是同源策略 （Same Origin Policy，SOP）。同源策略用于限制不同来源的资 源之间的交互。

同源策略的含义就是对于不同的页面，如果它们的主机名、协议和端口都相同，那它们就是同一来源的。 如果上述三个属性中有任何一个不一样，那就不能算是同源了。而同一来源的资源，即主机名、协议和端 口都相同的资源之间的交互，是不受限制的

最初，同源策略只适用于外部资源，后来才扩展到包含其他来源的资源。比如，使用file://协议访问本地 文件，使用chrome://协议访问浏览器相关的资源等。除了这两个协议之外，现在的浏览器还支持其他一些 协议。

白帽子讲浏览器安全

初探浏览器安全

漏洞三要素

• 完整性 ：指对资源的可信程度。
• 可用性 ：指访问资源的能力。
• 机密性 ：机密性指对一些需要授权的信息的限制。

浏览器中常见的安全概念

URL

URL 统一资源定位符”（Uniform Resource Locator，URL ）