同源策略具体限制些什么呢
同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。它的存在可以保护用户隐私信息,防止身份伪造等(读取Cookie)。同源策略限制内容有:
Cookie、LocalStorage、IndexedDB等存储性内容:同源策略会阻止保存在客户机中的简单的文本文件,这个文件与特定的Web文档关联在一起,保存了该客户机访问这个Web文档时的信息,当客户机再次访问这个Web文档时这些信息可供该文档使用。而同源策略会阻止类似的cookie、localstorage等能存储性内容。
DOM节点:DOM节点是指在XML文档中的每个成分都是一个节点。整个文档就是一个文档节点,每个XML标签是一个元素节点。dom将文档内容呈现在Javascript面前,赋予了Javascript操作文档的能力,同源策略会对其进行限制。
AJAX请求不能发送:通过后台与服务器进行少量数据交换,ajax可以使网页实现异步更新。也就是在不需要重新加载整个网页的情况下,能够更新部分网页的技术。传统的网页不使用ajax,如果需要更新内容,必须重新加载整个页面。
防止因同源策略设置不足导致信息泄露的措施有以下这些:
对数据进行智能数据分类分级:如今敏感数据识别仍以人工标识、关键字、正则表达式或者文件指纹等方法为主,这些方法能够保证敏感数据识别的精确性,但是对于网络内的海量文件和网络流量,则显得效率过低,漏报率过高。只有利用机器学习等人工智能技术,综合有监督和无监督的学习过程,通过大量数据训练模型,覆盖所有结构化和非结构化的数据,才能控制数据共享出入口的所有文件和流量。
对跨域的数据进行加密解密操作:数据共享后可读范围的控制是数据主体责任的关键要素,只有数据拥有者才可控制数据的传播范围。最适合控制敏感数据传播的技术莫过于数据加解密技术,数据拥有者向授权的数据获得者发放密钥,当敏感数据从数据共享出入口离开时用密钥加密,此时只有获得了密钥的数据获得者才能解密数据。需要注意的是,由于网络流量无法存储,所以加解密技术只在网络流量数据落地后适用。
进行行为审计分析:数据在业务网络内部正常流转时泄露可能性非常低,只有当数据从共享出入口离开网络时,数据泄露可能性才陡然升高,因此在数据共享出入口记录数据流出日志,保留数据发送者、发送时间、目标接收人、敏感数据类别等关键信息,进行用户行为审计,识别异常行为是组织必须采取的检测措施。
对数据进行动态数据脱敏:在数据共享过程中,某些数据在共享前后要保持其部分可识别性和唯一性,此时可采用数据脱敏技术进行敏感数据保护。在数据共享出入口处,数据处于流动状态,因此适合动态数据脱敏技术,在数据传递的过程中进行脱敏。脱敏的方法支持截断、屏蔽、掩码、哈希和标识转换等常见方法。另外,由于网络流量需校验数据完整性,所以动态数据脱敏技术只能在网络流量数据落地后适用。