同源策略能否被违反虚拟网络测试答案

【问题标题】：Can the same origin policy be breached virtual network tests同源策略能否被违反虚拟网络测试
【发布时间】：2012-04-22 15:41:06
【问题描述】：

我正在研究工作项目的同源政策

看来同源政策是很强的政策，不能破？

我已经测试了 iframe、CSS 历史 url hack 作为可能的破解方法。

我想知道是否有关于我可以执行的可能测试的任何想法，无论它们是否适用于测试同源策略。是否有关于如何在虚拟 netkit 环境中进行 DNS 重新绑定的简单教程？

谢谢

【问题讨论】：

你到底想做什么？什么是目标？
尝试通过实验测试是否可以违反同源策略
“违规”的标准是什么？什么决定了违规行为？
SOP =“一个来源不应该能够访问另一个来源的属性”所以我可以让一个网站，即（websiteA.com）能够通过愚弄访问（websiteB.com）的属性SOP

【解决方案1】：

首先，您应该了解同源策略 (SOP) 的含义，Browser Secuirty Handbook 是一个很好的资源。

话虽如此，网站可以通过多种方式撤销 SOP 给予他们的保护。 XSS 就是一个很好的例子，因为它可以用来访问另一个域上的数据，一个很好的例子就是the samy worm。

SOP 无法阻止跨站点请求伪造攻击。这个想法是您可以发送请求，但您无法读取响应。在这种攻击中，请求会产生副作用，例如更改用户密码。

点击劫持是另一个缺陷示例，其中事件（鼠标移动事件、单击事件、击键事件）被传递到另一个域并可能导致问题。

然后人们故意绕过 SOP，CORS 和 JSONP 就是一个很好的例子。还有flash的crossdomain.xml文件。

【讨论】：

很好的答案伙伴。注意到您没有提到跨站点历史操作 (XSHM)？关于在 Javascript 中绕过浏览器 history.object 的任何想法？我知道 XSS Firefox 错误现在使用 a:visited 来查看当前会话中的链接是否已被点击是否有任何新更新，即网络浏览器中的更新替代方案？然后您可以读取对 CSRF 等盲目攻击的响应
@daza166 不，我不相信这是可能的。可以使用点击劫持来读取页面的内容，方法是让用户拖放您要阅读的页面的view-source: 的 iframe。