跳转到主要内容

标签(标签)

资源精选(342) Go开发(108) Go语言(103) Go(99) angular(82) LLM(78) 大语言模型(63) 人工智能(53) 前端开发(50) LangChain(43) golang(43) 机器学习(39) Go工程师(38) Go程序员(38) Go开发者(36) React(33) Go基础(29) Python(24) Vue(22) Web开发(20) Web技术(19) 精选资源(19) 深度学习(19) Java(18) ChatGTP(17) Cookie(16) android(16) 前端框架(13) JavaScript(13) Next.js(12) 安卓(11) 聊天机器人(10) typescript(10) 资料精选(10) NLP(10) 第三方Cookie(9) Redwoodjs(9) ChatGPT(9) LLMOps(9) Go语言中级开发(9) 自然语言处理(9) PostgreSQL(9) 区块链(9) mlops(9) 安全(9) 全栈开发(8) OpenAI(8) Linux(8) AI(8) GraphQL(8) iOS(8) 软件架构(7) RAG(7) Go语言高级开发(7) AWS(7) C++(7) 数据科学(7) whisper(6) Prisma(6) 隐私保护(6) JSON(6) DevOps(6) 数据可视化(6) wasm(6) 计算机视觉(6) 算法(6) Rust(6) 微服务(6) 隐私沙盒(5) FedCM(5) 智能体(5) 语音识别(5) Angular开发(5) 快速应用开发(5) 提示工程(5) Agent(5) LLaMA(5) 低代码开发(5) Go测试(5) gorm(5) REST API(5) kafka(5) 推荐系统(5) WebAssembly(5) GameDev(5) CMS(5) CSS(5) machine-learning(5) 机器人(5) 游戏开发(5) Blockchain(5) Web安全(5) Kotlin(5) 低代码平台(5) 机器学习资源(5) Go资源(5) Nodejs(5) PHP(5) Swift(5) devin(4) Blitz(4) javascript框架(4) Redwood(4) GDPR(4) 生成式人工智能(4) Angular16(4) Alpaca(4) 编程语言(4) SAML(4) JWT(4) JSON处理(4) Go并发(4) 移动开发(4) 移动应用(4) security(4) 隐私(4) spring-boot(4) 物联网(4) nextjs(4) 网络安全(4) API(4) Ruby(4) 信息安全(4) flutter(4) RAG架构(3) 专家智能体(3) Chrome(3) CHIPS(3) 3PC(3) SSE(3) 人工智能软件工程师(3) LLM Agent(3) Remix(3) Ubuntu(3) GPT4All(3) 软件开发(3) 问答系统(3) 开发工具(3) 最佳实践(3) RxJS(3) SSR(3) Node.js(3) Dolly(3) 移动应用开发(3) 低代码(3) IAM(3) Web框架(3) CORS(3) 基准测试(3) Go语言数据库开发(3) Oauth2(3) 并发(3) 主题(3) Theme(3) earth(3) nginx(3) 软件工程(3) azure(3) keycloak(3) 生产力工具(3) gpt3(3) 工作流(3) C(3) jupyter(3) 认证(3) prometheus(3) GAN(3) Spring(3) 逆向工程(3) 应用安全(3) Docker(3) Django(3) R(3) .NET(3) 大数据(3) Hacking(3) 渗透测试(3) C++资源(3) Mac(3) 微信小程序(3) Python资源(3) JHipster(3) 语言模型(2) 可穿戴设备(2) JDK(2) SQL(2) Apache(2) Hashicorp Vault(2) Spring Cloud Vault(2) Go语言Web开发(2) Go测试工程师(2) WebSocket(2) 容器化(2) AES(2) 加密(2) 输入验证(2) ORM(2) Fiber(2) Postgres(2) Gorilla Mux(2) Go数据库开发(2) 模块(2) 泛型(2) 指针(2) HTTP(2) PostgreSQL开发(2) Vault(2) K8s(2) Spring boot(2) R语言(2) 深度学习资源(2) 半监督学习(2) semi-supervised-learning(2) architecture(2) 普罗米修斯(2) 嵌入模型(2) productivity(2) 编码(2) Qt(2) 前端(2) Rust语言(2) NeRF(2) 神经辐射场(2) 元宇宙(2) CPP(2) 数据分析(2) spark(2) 流处理(2) Ionic(2) 人体姿势估计(2) human-pose-estimation(2) 视频处理(2) deep-learning(2) kotlin语言(2) kotlin开发(2) burp(2) Chatbot(2) npm(2) quantum(2) OCR(2) 游戏(2) game(2) 内容管理系统(2) MySQL(2) python-books(2) pentest(2) opengl(2) IDE(2) 漏洞赏金(2) Web(2) 知识图谱(2) PyTorch(2) 数据库(2) reverse-engineering(2) 数据工程(2) swift开发(2) rest(2) robotics(2) ios-animation(2) 知识蒸馏(2) 安卓开发(2) nestjs(2) solidity(2) 爬虫(2) 面试(2) 容器(2) C++精选(2) 人工智能资源(2) Machine Learning(2) 备忘单(2) 编程书籍(2) angular资源(2) 速查表(2) cheatsheets(2) SecOps(2) mlops资源(2) R资源(2) DDD(2) 架构设计模式(2) 量化(2) Hacking资源(2) 强化学习(2) flask(2) 设计(2) 性能(2) Sysadmin(2) 系统管理员(2) Java资源(2) 机器学习精选(2) android资源(2) android-UI(2) Mac资源(2) iOS资源(2) Vue资源(2) flutter资源(2) JavaScript精选(2) JavaScript资源(2) Rust开发(2) deeplearning(2) RAD(2)

category

“同一网站”【"Same-site" 】和“同源”【"same-origin"】是经常被引用但经常被误解的术语。例如,它们用于页面转换、fetch()请求、cookie、打开弹出窗口、嵌入资源和iframe的上下文。本页解释了它们是什么以及它们之间的区别。



起源的结构。


“起源”是一个方案(也称为协议,例如HTTP或HTTPS)、主机名和端口(如果指定)的组合。例如,给定的URLhttps://www.example.com:443/foo,“原点”是https://www.example.com:443.

“同源”和“跨源”【"Same-origin" and "cross-origin"】


具有相同方案、主机名和端口组合的网站被视为“同源”网站。其他一切都被认为是“交叉起源”。

Origin A Origin B "Same-origin" or "cross-origin"?
https://www.example.com:443 https://www.evil.com:443 Cross-origin: different domains
https://example.com:443 Cross-origin: different subdomains
https://login.example.com:443 Cross-origin: different subdomains
http://www.example.com:443 Cross-origin: different schemes
https://www.example.com:80 Cross-origin: different ports
https://www.example.com:443 Same-origin: exact match
https://www.example.com Same-origin: implicit port number (443) matches


站点 【site】

 
要点:“站点”的规范包括方案。自2019年末以来,情况一直如此。在“站点”包含方案之前,通常使用“有方案的同一站点”【"schemeful same-site】。现在,“有计划的相同站点”被称为“相同站点”,而相同站点的旧形式被称为无方案的相同网站【schemeless same-site.】。有关更多信息,请参阅“无方案的同一站点”【"Schemeless same-site".】。


 


URL中组成网站的部分。


顶级域(TLD)(如.com和.org)列在根区域数据库中。在上一个
例如,“site”是该方案、TLD和它之前的域部分(我们称之为TLD+1)的组合。例如,给定的URL https://www.example.com:443/foo,“站点”是https://example.com.

公共后缀列表和eTLD


对于包含.co.jp或.github.io等元素的域,仅使用.jp或.io并不足以识别“站点”。无法通过算法确定特定TLD的可注册域级别。为了帮助实现这一点,公共后缀列表定义了一个公共后缀列表,也称为有效TLD(eTLD)。eTLD的列表保存在publicsuffix.org/list上。

要识别包含eTLD的域的“站点”部分,请应用与.com示例相同的做法https://www.project.github.io:443/foo例如,该方案是https,eTLD是.githhub.io,eTLD+1是project.github.io,因此https://project.github.io被视为此URL的“站点”。

站点(eTLD+1)


带有eTLD的URL的部分。


“同一站点”和“跨站点”


具有相同方案和相同eTLD+1的网站被视为“相同网站”。具有不同方案或不同eTLD+1的网站是“跨站点”的。

Origin A Origin B "Same-site" or "cross-site"?
https://www.example.com:443 https://www.evil.com:443 Cross-site: different domains
https://login.example.com:443 Same-site: different subdomains don't matter
http://www.example.com:443 Cross-site: different schemes
https://www.example.com:80 Same-site: different ports don't matter
https://www.example.com:443 Same-site: exact match
https://www.example.com Same-site: ports don't matter

“无计划的同一网站”【"Schemeless same-site"】


无方案的同一站点
“同一站点”的定义更改为将URL方案作为站点的一部分,以防止HTTP被用作弱通道。没有方案比较的“相同站点”的旧概念现在被称为“无方案的相同站点”。例如http://www.example.com和https://www.example.com被认为是无方案的相同站点,但不是相同站点,因为只有eTLD+1部分很重要,而该方案没有被考虑。

Origin A Origin B "Schemeless same-site" or "cross-site"?
https://www.example.com:443 https://www.evil.com:443 Cross-site: different domains
https://login.example.com:443 Schemeless same-site: different subdomains don't matter
http://www.example.com:443 Schemeless same-site: different schemes don't matter
https://www.example.com:80 Schemeless same-site: different ports don't matter
https://www.example.com:443 Schemeless same-site: exact match
https://www.example.com Schemeless same-site: ports don't matter


如何检查请求是“同一站点”、“同源”还是“跨站点”


浏览器支持

所有现代浏览器都使用Sec Fetch Site HTTP标头【Sec-Fetch-Site HTTP header】发送请求。标头具有以下值之一:

  • cross-site
  • same-site (refers to schemeful same-site)
  • same-origin
  • none


您可以检查Sec Fetch Site的值,以确定请求是同一站点、同源还是跨站点。

您可以合理地信任Sec Fetch Site标头的值,因为:

关键点:即使随机的HTTP客户端向服务器发送一个被操纵的Sec Fetch Site标头值,也不会因破坏同源策略而损害用户或浏览器。

文章链接