同源策略和跨域访问

1. 什么是同源策略 

    理解跨域首先必需要了解同源策略。同源策略是浏览器上为安全性考虑实施的很是重要的安全策略。
    何谓同源:
        URL由协议、域名、端口和路径组成，若是两个URL的协议、域名和端口相同，则表示他们同源。
    同源策略:
        浏览器的同源策略，限制了来自不一样源的"document"或脚本，对当前"document"读取或设置某些属性。 （白帽子讲web安全[1]）
        从一个域上加载的脚本不容许访问另一个域的文档属性。

    举个例子：
        好比一个恶意网站的页面经过iframe嵌入了银行的登陆页面（两者不一样源），若是没有同源限制，恶意网页上的javascript脚本就能够在用户登陆银行的时候获取用户名和密码。

    在浏览器中，<script>、<img>、<iframe>、<link>等标签均可以加载跨域资源，而不受同源限制，但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
    另外同源策略只对网页的HTML文档作了限制，对加载的其余静态资源如javascript、css、图片等仍然认为属于同源。

    代码示例（http://localhost:8080/和http://localhost:8081因为端口不一样而不一样源）：

[html]  view plain copy

1. http://localhost:8080/test.html  
2.         <html>  
3.             <head><title>test same origin policy</title></head>  
4.             <body>  
5.                 <iframe id="test" src="http://localhost:8081/test2.html"></iframe>  
6.                 <script type="text/javascript">  
7.                     document.getElementById("test").contentDocument.body.innerHTML = "write somthing";  
8.                 </script>  
9.             </body>  
10.         </html>  
11.   
12. http://localhost:8081/test2.html  
13.         <html>  
14.             <head><title>test same origin policy</title></head>  
15.             <body>  
16.                 Testing.  
17.             </body>  
18.         </html>  

    在Firefox中会获得以下错误：
        Error: Permission denied to access property 'body'

    Document对象的domain属性存放着装载文档的服务器的主机名，能够设置它。
    例如来自"blog.csdn.net"和来自"bbs.csdn.net"的页面，都将document.domain设置为"csdn.net"，则来自两个子域名的脚本便可相互访问。
    出于安全的考虑，不能设置为其余主domain，好比http://www.csdn.net/不能设置为sina.com

2. Ajax跨域

    Ajax (XMLHttpRequest)请求受到同源策略的限制。
    Ajax经过XMLHttpRequest可以与远程的服务器进行信息交互，另外XMLHttpRequest是一个纯粹的Javascript对象，这样的交互过程，是在后台进行的，用户不易察觉。
    所以，XMLHTTP实际上已经突破了原有的Javascript的安全限制。
    举个例子：
        假设某网站引用了其它站点的javascript，这个站点被compromise并在javascript中加入获取用户输入并经过ajax提交给其余站点，这样就能够源源不断收集信息。
        或者某网站由于存在漏洞致使XSS注入了javascript脚本，这个脚本就能够经过ajax获取用户信息并经过ajax提交给其余站点，这样就能够源源不断收集信息。
   若是咱们又想利用XMLHTTP的无刷新异步交互能力，又不肯意公然突破Javascript的安全策略，能够选择的方案就是给XMLHTTP加上严格的同源限制。
   这样的安全策略，很相似于Applet的安全策略。IFrame的限制还仅仅是不能访问跨域HTMLDOM中的数据，而XMLHTTP则根本上限制了跨域请求的提交。（实际上下面提到了CORS已经放宽了限制）

   随着Ajax技术和网络服务的发展，对跨域的要求也愈来愈强烈。下面介绍Ajax的跨域技术。
    

2.1 JSONP

    JSONP技术实际和Ajax没有关系。咱们知道<script>标签能够加载跨域的javascript脚本，而且被加载的脚本和当前文档属于同一个域。所以在文档中能够调用/访问脚本中的数据和函数。若是javascript脚本中的数据是动态生成的，那么只要在文档中动态建立<script>标签就能够实现和服务端的数据交互。
    JSONP就是利用<script>标签的跨域能力实现跨域数据的访问，请求动态生成的JavaScript脚本同时带一个callback函数名做为参数。其中callback函数本地文档的JavaScript函数，服务器端动态生成的脚本会产生数据，并在代码中以产生的数据为参数调用callback函数。当这段脚本加载到本地文档时，callback函数就被调用。

    第一个站点的测试页面（http://localhost:8080/test.html）：  

[html]  view plain copy

1. <script src="http://localhost:8081/test_data.js">  
2.     <script>  
3.         function test_handler(data) {  
4.             console.log(data);  
5.         }  
6. </script>  

    服务器端的Javascript脚本（http://localhost:8081/test_data.js）：
        test_handler('{"data": "something"}');

    为了动态实现JSONP请求，可使用Javascript动态插入<script>标签：

[html]  view plain copy

1. <script type="text/javascript">  
2.         // this shows dynamic script insertion  
3.         var script = document.createElement('script');  
4.         script.setAttribute('src', url);  
5.         // load the script  
6.         document.getElementsByTagName('head')[0].appendChild(script);   
7. </script>  

    
    JSONP协议封装了上述步骤，jQuery中统一是如今AJAX中(其中data type为JSONP)：
    http://localhost:8080/test?callback=test_handler
    
    为了支持JSONP协议，服务器端必须提供特别的支持[2]，另外JSONP只支持GET请求。

2.2 Proxy 

    使用代理方式跨域更加直接，由于SOP的限制是浏览器实现的。若是请求不是从浏览器发起的，就不存在跨域问题了。
    使用本方法跨域步骤以下：
    1. 把访问其它域的请求替换为本域的请求
    2. 本域的请求是服务器端的动态脚本负责转发实际的请求
    各类服务器的Reverse Proxy功能均可以很是方便的实现请求的转发，如Apache httpd + mod_proxy。
    Eg.
    为了经过Ajax从http://localhost:8080访问http://localhost:8081/api，能够将请求发往http://localhost:8080/api。
    而后利用Apache Web服务器的Reverse Proxy功能作以下配置：
        ProxyPass /api http://localhost:8081/api

2.3 CORS

2.3.1 Cross origin resource sharing

       “Cross-origin resource sharing (CORS) is a mechanism that allows a web page to make XMLHttpRequests to another domain. Such "cross-domain" requests would otherwise be forbidden by web browsers, per the same origin security policy. CORS defines a way in which the browser and the server can interact to determine whether or not to allow the cross-origin request. It is more powerful than only allowing same-origin requests, but it is more secure than simply allowing all such cross-origin requests.” ----Wikipedia[3]

   经过在HTTP Header中加入扩展字段，服务器在相应网页头部加入字段表示容许访问的domain和HTTP method，客户端检查本身的域是否在容许列表中，决定是否处理响应。
   实现的基础是JavaScript不可以操做HTTP Header。某些浏览器插件其实是具备这个能力的。

   服务器端在HTTP的响应头中加入（页面层次的控制模式）：
   Access-Control-Allow-Origin: example.com
   Access-Control-Request-Method: GET, POST
   Access-Control-Allow-Headers: Content-Type, Authorization, Accept, Range, Origin
   Access-Control-Expose-Headers: Content-Range
   Access-Control-Max-Age: 3600
   多个域名之间用逗号分隔，表示对所示域名提供跨域访问权限。"*"表示容许全部域名的跨域访问。

   客户端能够有两种行为：
   1. 发送OPTIONS请求，请求Access-Control信息。若是本身的域名在容许的访问列表中，则发送真正的请求，不然放弃请求发送。
   2. 直接发送请求，而后检查response的Access-Control信息，若是本身的域名在容许的访问列表中，则读取response body，不然放弃。
   本质上服务端的response内容已经到达本地，JavaScript决定是否要去读取。

   Support: [Javascript Web Applications]
   * IE >= 8 (须要安装caveat)
   * Firefox >= 3
   * Safari 彻底支持
   * Chrome 彻底支持
   * Opera 不支持

 2.3.2 测试

   测试页面http://localhost:8080/test3.html使用jquery发送Ajax请求。

[html]  view plain copy

1. <html>  
2.         <head><title>testing cross sop</title></head>  
3.         <body>  
4.             Testing.  
5.             <script src="jquery-2.0.0.min.js"></script>  
6.             <script type='text/javascript'>  
7.                 $.ajax({  
8.                     url: 'http://localhost:8000/hello',  
9.                     success: function(data) {  
10.                         alert(data);  
11.                     },  
12.                     error: function() {  
13.                         alert('error');  
14.                     }  
15.                 });  
16.             </script>  
17.         </body>  
18. </html>  

    测试Restful API(http://localhost:8000/hello/{name})使用bottle.py来host。
    from bottle import route, run, response
    @route('/hello')
    def index():
        return 'Hello World.'
    run(host='localhost', port=8000)

    测试1：
        测试正常的跨域请求的行为。
    测试结果：
        1. 跨域GET请求已经发出，请求header中带有
            Origin    http://localhost:8080
        2. 服务器端正确给出response
        3. Javascript拒绝读取数据，在firebug中发现reponse为空，而且触发error回调

    测试2：
        测试支持CORS的服务器的跨域请求行为。
        对Restful API作以下改动，在response中加入header：
             def index():
                #Add CORS header#
                response.set_header("Access-Control-Allow-Origin", "http://localhost:8080")
                return 'Hello World.'
    测试结果：
        1. 跨域GET请求已经发出，请求header中带有
            Origin    http://localhost:8080
        2. 服务器端正确给出response
        3. 客户端正常获取数据

    测试3：
        测试OPTIONS请求获取CORS信息。
        对客户端的Ajax请求增长header：         

[html]  view plain copy

1. $.ajax({  
2.           url: 'http://localhost:8000/hello',  
3.           headers: {'Content-Type': 'text/html'},  
4.           success: function(data) {  
5.               alert(data);  
6.           },  
7.           error: function() {  
8.               alert('error');  
9.           }  
10.       });  

        对Restful API作以下改动：
            @route('/hello', method = ['OPTIONS', 'GET'])
            def index():
                if request.method == 'OPTIONS':
                    return ''
                return 'Hello World.'
    测试结果：
    1. Ajax函数会首先发送OPTIONS请求
    2. 针对OPTIONS请求服务器
    3. 客户端发现没有CORS header后不会发送GET请求

    测试4：
        增长服务器端对OPTIONS方法的处理。
        对Restful API作以下改动：
            @route('/hello', method = ['OPTIONS', 'GET'])
            def index():
                response.headers['Access-Control-Allow-Origin'] = 'http://localhost:8080'
                response.headers['Access-Control-Allow-Methods'] = 'GET, OPTIONS'
                response.headers['Access-Control-Allow-Headers'] = 'Origin, Accept, Content-Type'
                if request.method == 'OPTIONS':
                    return ''
                return 'Hello World.'
    测试结果：
        1. Ajax函数会首先发送OPTIONS请求
        2. 针对OPTIONS请求服务器
        3. 客户端匹配CORS header中的allow headers and orgin后会正确发送GET请求并获取结果
        测试发现，Access-Control-Allow-Headers是必须的。

   CORS协议提高了Ajax的跨域能力，但也增长了风险。一旦网站被注入脚本或XSS攻击，将很是方便的获取用户信息并悄悄传递出去。

4. Cookie 同源策略

    Cookie中的同源只关注域名，忽略协议和端口。因此https://localhost:8080/和http://localhost:8081/的Cookie是共享的。

5. Flash/SilverLight跨域

    浏览器的各类插件也存在跨域需求。一般是经过在服务器配置crossdomain.xml[4]，设置本服务容许哪些域名的跨域访问。
    客户端会首先请求此文件，若是发现本身的域名在访问列表里，就发起真正的请求，不然不发送请求。
        <?xml version="1.0"?>
            <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
            <cross-domain-policy>
            <allow-access-from domain="*"/>
            <allow-http-request-headers-from domain="*" headers="*"/>
        </cross-domain-policy>
    一般crossdomain.xml放置在网站根目录。

6. 总结 

    互联网的发展催生了跨域访问的需求，各类跨域方法和协议知足了需求但也增长了各类风险。尤为是XSS和CSRF等攻击的盛行也得益于此。
    了解这些技术背景有助于在实际项目中熟练应用并规避各类安全风险。

Reference

[1] 白帽子讲Web安全: http://book.douban.com/subject/10546925/
[2] 使用 JSONP 实现跨域通讯: http://www.ibm.com/developerworks/cn/web/wa-aj-jsonp1/
[3] Cross-origin resource sharing: http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing
[4] Cross-domain policy for Flash movies: http://kb2.adobe.com/cps/142/tn_14213.html