安科网

Google Chrome同源策略绕过漏洞(CVE-2015-1303)

wblobin

wblobin

2015-10-12

关注 关注
Google Chrome同源策略绕过漏洞(CVE-2015-1303)


发布日期:2015-10-11
更新日期:2015-10-12

受影响系统:

Google Chrome < 45.0.2454.101

描述:

CVE(CAN) ID: CVE-2015-1303

Google Chrome是由Google开发的一款Web浏览工具。

Google Chrome 45.0.2454.101之前版本,Blink中bindings/core/v8/V8DOMWrapper.h没有执行重新抛出操作,无法传播cross-context异常相关的消息,远程攻击者通过包含IFRAME元素的HTML文档,利用此漏洞可绕过同源策略。

<*来源:Chrome
  *>

建议:

厂商补丁:

Google
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://googlechromereleases.blogspot.com/2015/09/stable-channel-update_24.html
https://codereview.chromium.org/1339023002
https://code.google.com/p/chromium/issues/detail?id=530301

同源策略 谷歌浏览器 chromium

wblobin

wblobin

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

同源策略:JSONP和CORS

  同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。  但是两个源在达成共识后,需要相互传递数

somebodyoneday 2020-03-06

浏览器的同源策略类别及处理

一.要理解浏览器的同源策略,首先要理解http的请求过程。P3P是为了防止第三方滥用用户信息而出的,由于P3P协议默认情况下禁止frame使用cookie,而session一般是由cookie来保证的,所以session失效。为了解决这个问题,需要在要使用

cuiweisaidelike 2013-05-14

轻松搞定JSONP跨域请求

要理解跨域,先要了解一下“同源策略”。所谓同源是指,域名,协议,端口相同。所谓“同源策略“,简单的说就是基于安全考虑,当前域不能访问其他域的东西。在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的。title=api_v2提供的接口数据。q

sjunothing 2017-02-07

什么是同源/跨域?什么是CORS?什么是JSONP?

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。同源又是什么呢?所谓同源是指,域名,协议,端口均相同。JSONP就可以解决跨域问题。JSONP是网页通过动态创建<script>元素向服务器发起请求

adonislu 2019-09-08

同源跨域二三事:从同源策略到 JSONP 技术略解

(一)什么是同源策略?同源策略是浏览器因安全性需要而诞生的沙盒机制中的其中一个策略。所谓同源,就是要三同:同协议,同域名,同端口号。其中任意一个不相同,都不能称之为同源。非同源网站间 JavaScript 脚本的行为受到了严格的限制,以提供必要的安全性。向

qianqianxiao 2019-09-08

HTML5 学习笔记

DHTML是DynamicHTML的简称,它是将HTML,CSS,JAVASCRIPT3种语言结合起来。

daweihe 2012-11-11

一次弄懂跨域问题

前端请求最常提到跨域问题,但是,很多开发者一直在跨域,还是搞不清楚什么是跨域?在我的深入研究后,写下此文,希望对你们有所帮助。同源策略1.什么是同源策略?同源策略下的web世界, 域的壁垒高筑, 从而保证各个网页相互独立, 互相之间不能直接访问, ifra

小傻 2019-06-30

前端跨域大总结

跨域这两个字就像一块狗皮膏药一样黏在每一个前端开发者身上,无论你在工作上或者面试中无可避免会遇到这个问题。为了应付面试,我每次都随便背几个方案,也不知道为什么要这样干,反正面完就可以扔了,我想工作上也不会用到那么多乱七八糟的方案。到了真正工作,开发环境有w

quanquanxiu 2019-06-29

轻松搞定JSONP跨域请求

所谓同源是指,域名,协议,端口相同。所谓“同源策略“,简单的说就是基于安全考虑,当前域不能访问其他域的东西。在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的。title=api_v2提供的接口数据。q=javascript&cou

sjunothing 2017-02-07

同源策略与CORS跨域

同源策略与CORS跨域PS:这篇文章是紧接着JSONP原理和Ajax学习与理解写的,有些内容是承接了上两篇文章.这篇文章只算是我的个人学习笔记,内容没有经过精心排版,也没有认真校对格式,一些错误请见谅.请求成功了,但是报了一个错加载失败了,所以,请求发送出

清闲居 2019-06-28

JSONP原理及JQUERY JSONP的使用

JSONP原理JSON和JSONPJSON是一种轻量级的数据交换格式。对于JSON大家应该是很了解了吧,不是很清楚的朋友可以去json.org上了解下,简单易懂。JSONP是JSON with Padding的略称。它是一个非官方的协议,它允许在服务器端集

wormIT 2019-06-28

同源策略与跨域

同源策略同源策略same origin policy中的重要内容就是URL,统一资源定位符,俗称网址。URL中的resource资源就是css,js,html,img等内容。origin源包括当前页面的域名、协议、端口号。http协议默认端口是80,htt

sleep技术讨论区 2019-06-28

JavaScript 的同源策略

JavaScript 的同源策略

sunlizhen 2016-03-16

如何真正理解用Nginx代理来解决同源策略

经过对同源策略的了解,我们应该要消除对浏览器的误解,同源策略是浏览器做的一件好事,是用来防御来自邪门歪道的攻击,但总不能为了不让坏人进门而把全部人都拒之门外吧。没错,我们这种正人君子只要打开方式正确,就应该可以跨域。下面将一个个演示正确打开方式,但在此之前

jjjjjj 2019-06-28

jsonp跨域获取数据实现百度搜索

本菜鸡最近在写某个页面请求数据时,报了如下的错误。什么是同源策略?同源策略/SOP是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。同源策略可以算是 we

adonislu 2019-06-27

javascript同源策略及解决

1、避免跨域:重新修改请求策略,使其不跨域。

atpsoul 2015-06-16

【web安全系列】(一)浏览器安全

作为一个web开发人员,浏览器安全是不可或缺的知识。本文将给大家介绍一下浏览器的安全功能。同源策略同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器

YAQSecurity 2019-06-27

同源策略、跨域访问&JSONP

JSONP是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。利用 <script> 元素的这个开放策略,网页可以得到从其他来源动态产生的 JSON 资料,而这种使用模式就是所谓的 JSONP。用 JSONP 抓到的资料并不

sjunothing 2015-04-01

javascript的安全策略

即它本身不支持某些功能。没有File对象,这样不能再用户系统中种植病毒;同样,它还没有任何的联网原语,javascript可以加载URL,但不能同web上的其他主机建立连接,这样避免了客户机作为攻击平台。同源策略,即一个脚本只能读取与它同源的窗口或文档属性

linkincsdn 2014-12-30

浏览器安全之同源策略

同源策略同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响.可以说Web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现.XMLHttpRequest受到同源策略的约束,不能跨域访问

xxjoy 2019-06-26
wblobin

wblobin

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号