同源策略及解决办法

最新推荐文章于 2024-03-13 09:32:45 发布
最新推荐文章于 2024-03-13 09:32:45 发布
阅读量1w 收藏 23
点赞数 2
分类专栏: 【总结】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010066934/article/details/72403745
版权

同源策略

一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。

背景

这里写图片描述

如上图所示:

用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。

含义:

同源策略需要同时满足以下三点要求:

1)协议相同
2)域名相同
3)端口相同

Tips:
http:www.test.com与https:www.test.com 不同源——协议不同
http:www.test.com与http:www.admin.com 不同源——域名不同
http:www.test.com与http:www.test.com:8081 不同源——端口不同

只要不满足其中任意一个要求,就不符合同源策略,就会出现“跨域”。
最常见的形式是使用ajax请求数据。

解决办法

1、postMessage

html5引入了一个跨文档通信的API,这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。

Tips:该方法只解决了前端两个窗口的通信,但无法解决前后台调用的跨域问题。

2、jsonp

网页通过添加一个script元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来

Tips: 简单好用,服务器改动小。

3、CORS

Cross-Origin Resource Sharing 跨资源分享,作为W3C的标准,是跨域ajax的根本解决方法,允许任何类型的请求。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

同时满足以下两个条件,即为简单请求。

1) 请求方法是以下三种方法之一:
HEAD
GET
POST

2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)。

“预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

在方法被调用前加拦截器,就可以清楚的看到预检请求。比如一个post请求,他会发送两个请求,一个options,一个post。

示例:

在springboot项目中,我们在后端添加如下配置:

@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

响应头和请求头信息

这里写图片描述

Access-Control-Allow-Origin字段,表示其值(如:http://www.baidu.com)可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。如上图所示。

yysx
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax跨域的完美解决方案
01-19
公司要做一个活动页面,在其过程中发现所有的接口,ajax请求跨域。这里对跨域做个简单介绍以及提供几种解决办法。   由于浏览器实现的同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源,所以AJAX是不允许跨域的。这里提供自己常用的三种方法: 1、jsonp访问   JSONP(JSON with Padding)是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问; 实现方式   1) [removed] $.ajax({
【浏览器安全机制】一文带你了解同源策略(Same origin policy)及跨域请求
等风来
08-24 6413
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
【JavaScript 漫游】【035】同源限制
最新发布
CYW2019_HUST的博客
03-13 914
本篇文章为【JavaScript 漫游】专栏的第 035 篇文章,记录了浏览器模型同源限制相关的知识点。
浅析JSONP解决Ajax跨域访问问题的思路详解
12-04
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。实现方法有多种,本例采用jQuery+Ajax,完成后,在本地调试了一切ok,但是部署到服务器上以后就出现问题了,后台服务调用没有响应,怎么回事?代码没怎么改动,唯一修改的地方就是jQuery的ajax方法中的url地址。难道是这里的问题,经过检查和调试,发现原来是同源策略在作怪,我们知道,JavaScript或jQuery是在Web前端开发中经常使用的动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
Vue开发中遇到的跨域问题及解决方法
01-19
跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。 1.jsonp 原理是:动态插入script标签,通过script标签引入一个js文件,这个js文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的json数据作为参数传入。 由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源,为了实现跨域请求,可以通过script标签实现跨域请求,然后在服务端输出JSON数据并执行回调函
javascript跨域方法、原理以及出现问题解决方法(详解)
10-23
javascript出于安全方面的考虑,不允许跨域调用其他页面的对象。但是在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。跨域简单的理解就是因为javascript同源策略的限制,a.com域名下的js无法操作b.com或者是c.a.com域名下的对象
浏览器同源策略
bobozai86的博客
05-09 176
一、含义1995年,同源政策由Netscape公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A页面设置的Cookie,B网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”。协议相同域名相同端口相同举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(...
SpringBoot ~ 同源策略配置
简单点
06-07 931
同源策略配置 ​ CROS(Cross-Origin Resource Sharing)是由W3C制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。 SpringBoot配置跨域有2种方式,一是方法注解配置,二是全局配置 注解配置 @RestController @RequestMapping("/cors") public class RestfulCorsController { @RequestMapping("/") @CrossOrigin(value =
meethigher-同源策略以及SpringBoot的常见跨域配置
meethigher的博客
08-27 680
先说明一个坑。在跨域的情况下,浏览器针对复杂请求,会发起预检OPTIONS请求。如果服务端对OPTIONS进行拦截,并返回非200的http状态码。浏览器一律提示为cors error。
Java Demo示例:Springboot解决Access-Control-Allow-Origin跨域问题、浏览器同源策略详解
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。...
跨域
wang_zhao_的博客
12-03 543
跨域同源政策限制范围举例demo1demo2Cookieiframe1 片段识别符2 window.name3 window.postMessage4 LocalStorageAJAXJSONPWebSocketCORS**简单请求的处理方式****非简单请求的处理方式** 同源政策        一个源的定义 如果两个页面的...
JSONP跨域GET请求解决Ajax跨域访问问题
12-03
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。实现方法有多种,本例采用jQuery+Ajax,完成后,在本地调试了一切ok,但是部署到服务器上以后就出现问题了,后台服务调用没有响应,怎么回事?代码没怎么改动,唯一修改的地方就是jQuery的ajax方法中的url地址。难道是这里的问题,经过检查和调试,发现原来是同源策略在作怪,我们知道,JavaScript或jQuery是在Web前端开发中经常使用的动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
同源策略简介
qq_51515209的博客
11-28 960
同源策略简介
同源策略浅析
m0_65169658的博客
04-22 877
问题一:同源策略同源策略要求:浏览器中文档来源要求相同 同源策略是对JavaScript代码能够操作哪些Web内容的一条完整的安全限制。 脚本只能读取和所属文档来源相同的窗口和文档的属性。 问题二:文档来源? 文档来源包括协议、主机,以及载入文档的URL端口。 1.从不同Web服务器载入的文档具有不同的来源 2.通过同一主机的不同端口载入的文档具有不同的来源 3.使用http:协议带入的文档和使用https:协议载入的文档具有不同的来源,即使他们来自同一服务器。 以上三种都是违反同源测试。
设计模式之—建造者模式(Builder)-Java实现
迷失的小书童
01-12 4204
Builder模式,将产品的内部表象和产品的生成过程分割开来,从而使一个建造过程生成具有不同的内部 表象的产品对象。建造模式使得产品内部表象可以独立的变化,客户不必知道产品内部组成的细节。建造模式可以强制实行一种分步骤进行的建造过程。 将一个复杂对象的构建与它的表示分离,使得同样的构建过程可以创建不同的表示。 相关模式:思路和模板方法模式很像,模板方法是封装算法流程,对某些细节,
同源策略与跨域的解决方案
失眠时间的博客
05-12 1264
总所周知,同源策略是导致跨域的原因,那么什么是同源策略,又可以如何解决跨域的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何跨域问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
【java设计模式】之 模板方法(Template Method)模式
热门推荐
武哥聊编程
05-06 1万+
1. 模板方法的一个实例         这一节主要来学习一下设计模式中的模板方法模式。我们先来看一个例子:假如现在老板让你做一个汽车的模型,要求只要完成基本功能即可,不考虑扩展性,那你会怎么做呢?我们首先会根据经验设计一个类图:        由这个类图可知,非常简单的实现了悍马车,该车有两个型号H1和H2。那现在我们开始实现这两个型号的悍马车,首先我们得把抽象类写好,然后两个不同的模型...
HTTP同源策略
星曦的博客
08-04 1404
同源策略是web安全策略中的一种,非常重要。 同源策略明确规定:不同域的客户端在没有明确授权的情况下,不能读写对方的资源。 简单说来就是web浏览器允许第一个页面的脚本访问访问第二个页面的数据,但是也只有在两个页面有相同的源的时候,如果不同源则需要授权。源:URI(统一资源标识符)、主机名、端口号组合而成的。这个策略可以阻止一个页面上恶意脚本通过页面DOM对象获得访问另一个页面的敏感信息的权限
什么是同源策略
weixin_70437515的博客
06-28 8908
概述:先来看看 域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源同源策略限制内容有:但是有三个标签是允许跨域加载资源:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
解决同源策略一共有几种方法
06-10
解决同源策略的方法有以下几种: 1. 使用 JSONP:通过动态创建 <script> 标签并设置其 src 属性为跨域请求的 URL,使得请求的返回值被当作 JavaScript 代码执行,从而实现跨域数据传输。 2. 使用 CORS:CORS 是一种基于 HTTP 头信息的跨域解决方案,通过在服务端设置响应头信息来允许特定域名下的页面访问。 3. 使用代理:通过在同域名下的页面中发起请求,再由服务器转发到目标地址并将响应返回给客户端,实现跨域数据传输。 4. 使用 WebSocket:WebSocket 是一种基于 TCP 协议的双向通信协议,可以在客户端和服务端之间建立一条持久的连接,从而实现跨域通信。 5. 使用 postMessage:postMessage 是 HTML5 中新增的一种跨文档通信机制,可以在不同窗口、甚至不同域名之间传递消息,从而实现跨域数据传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值