安全上下文

文章正文
发布时间:2024-07-23 14:47

当一个上下文满足安全上下文规范中定义的某些最低限度的认证和保密标准时,它是安全的。当一个特定的文档是(基本上是一个包含窗口或标签)的时,它是在一个安全的上下文中。

例如,在 <iframe> 中的文档即使通过 TLS 进行传输,如果它有一个父节点没有通过 TLS 进行传输,其上下文也不会视为安全。

然而,需要引起注意的是,如果某个不安全上下文创建了新窗口(无论是否指定 noopener 参数),那么创建新窗口的文档不安全的事实不会影响新窗口的安全性。这是因为,确定一个特定的文档是否在安全上下文中,仅仅需要考虑与之相关的顶层浏览上下文,而与是否碰巧使用了非安全的上下文来创建它无关。

本地传递的资源,如那些带有 、 和 *.localhost 网址(如 )和 file:// 网址的资源也是认为经过安全传递的。

备注: Firefox 84 及更新的版本支持 和 *.localhost URL 作为信任的源,而早期版本不支持这样做,因为还没有保证 localhost 映射到本地或回环地址上。

非本地资源要被认为是安全的,必须满足以下标准:

必须通过 https:// 或 wss:// URL 提供服务

用于传送资源的网络信道的安全属性不能是废弃的

首页
评论
分享
Top