网络安全:跨域原理及如何实现跨域

最新推荐文章于 2024-05-07 08:00:00 发布
VIP文章 最新推荐文章于 2024-05-07 08:00:00 发布
阅读量216 收藏 1
点赞数 1
文章标签: web安全 安全 网络安全 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75856701/article/details/128858180
版权

前言

我们在解决一个问题的时候应该先去了解这个问题是如何产生的,为什么会有跨域的存在呢?其实,最终的罪魁祸首都是浏览器的同源策略,浏览器的同源策略限制我们只能在相同的协议、IP地址、端口号相同,如果有任何一个不通,都不能相互的获取数据。并且,http和https之间也存在跨域,因为https一般采用的是443端口,http采用的是80端口或者其他。

同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

1.jpg

同源策略限制内容有:

1.Cookie、LocalStorage、IndexedDB 等存储性内容

2.DOM 节点

3.AJAX 请求发送后,结果被浏览器拦截了

但是有三个标签是允许跨域加载资源:

{img src=XXX}

{link href=XXX}

{script src=XXX}

常见的跨域场景

协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。常见跨域场景如下图所示:

跨域场景图.jpg

其实,跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了,常见的9种跨域方案,主要有: 通过jsonp跨域、 document.domain + iframe跨域、 location.hash + iframe、window.name + iframe跨域、postMessage跨域、跨域资源共享(CORS)、nginx代理跨域、nodejs中间件代理跨域、WebSocket协议跨域9种,并有着各自独特的跨域原理。

一:JSONP实现跨域

原理:jsonp实现跨域的原

最低0.47元/天 解锁文章
网络安全你我他
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无线通信网络安全技术
03-17
目录:第1章 无线通信网络安全基础 1.1 无线通信网络概述 1.1.1 蜂窝移动通信系统 1.1.2 宽带无线通信系统 1.1.3 无线自组织网络 1.1.4 异构无线通信网络 1.2 无线网络安全威胁分析 1.2.1 无线网络脆弱性分析...
三种跨域生态环境
WOSHISUNXIANGFU的专栏
02-21 128
Request Broker) 不同生态环境的程序可以像调用本地对象一样调用远程对象代理的方法,ORB会负责连接到远程的对象,并处理数据的序列化与反序列化。 例子是:java中的RMI实现。 2)SOA 其核心概念是服务(Service)。比如:我们要提供整数加法Web服务,我们会很自然地想到通过类似下面的url来表达服务接口: http://www.example.com/add?a=1&b=2 例子是: java开源框架:mule 3)RE
SpringCloud生态框架-当gateway2.x遇上跨域的时候,你怎么办?
Owen0303的博客
11-19 281
背景:项目比较紧急,所以用图片+页面的形式写了个小东西,要实现填写信息和购买,可是在调用过程中遇到了跨域问题,如何解决。 问题重现:最初的调用方案是通过gateway路由分发到微服务的web层,再通过feign发起通过Gateway分发调用到服务。最开始报的是跨域问题于是开始着手解决 问题1.页面报错报的是。 我给出了第一个解决方案。 方案一(不适用于Gateway和与tomcat有冲突的) //重点 @WebFilter(filterName = "corsFilter", u...
跨域简单介绍
cc1aymore的博客
05-16 310
浏览器直接发送跨域请求,并在请求头中携带Origin的头,表明这是一个跨域的请求。 服务器端接到请求后,会根据自己的跨域规则,通过Access-Control-Allow-Origin和Access-Control-Allow-Methods响应头,来返回验证结果。 应答中携带了跨域头 Access-Control-Allow-Origin。使用 Origin 和 Access-Control-Allow-Origin 就能完成最简单的访问控制。本例中,服务端返回的 Access-Control-Allo
跨域/解决跨域方法
song854601134的博客
12-19 4046
首先编写一个过滤器,可以起名字为MyCorsFilter.java} }.} }.} }.} }.} }.} }.} }.} }.} }.} }.} }.
实现跨域访问---同源策略 、常见跨域方法
weixin_44492275的博客
09-21 174
实现跨域访问 同源策略 为了保证用户数据安全 防止恶意网站窃取数据 同源策略 三个行为限制: ​ Cookie、LocalStorage、indexDB无法读取 ​ DOM无法获取 ​ AJAX请求不能发送 在安全的同时也有了许多的不方便 同源:协议相同、域名相同、端口号相同 域名 访问的url地址:网络协议+域名(IP地址)+端口号+资源路径 ​ 同源:网络协议相同、域名相同、端口号相同 ​ 不同源:任意一个不一样 ​ 域名不相同:完全跨域 ​ 域名相同,端口不同:跨子网 互联网默认规则:同源策略
浏览器的跨域Cors规则
csdn_meng的博客
01-26 732
跨域即非同源访问服务资源 如:http://www.baidu.com/index.html的页面要用浏览器的XHR请求访问http://www.aliyun.com/api/apiMethod来请求数据,这种情况就属于跨域请求数据,在js中对接口发起的所有请求都属于XHR请求 浏览器通过http返回报文的头信息识别服务器是否允许跨域,这是约定。 浏览器主要通过服务器的响应中是否包含下面几个头信息来判断是否允许访问: Access-Control-Allow-Origin Access-Co.
什么是跨域以及为什么会出现跨域以及跨域的解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
HCIE-Datacom V1.0 培训PPT.rar
09-24
03网终安全技术ppt 04MPLS原理与配置.ppt O5 MPLS LDP原理与配置.pptx O6 MPLS VN原理与配置.pptx O7 MPLS VN部署与应用.ppt O8 MPLS L3VN跨域.ppt O9EVN原理与配置.pptx 10IPv6路由.pptx 11IPv6过渡技术.ppⅸ 12QoS...
2022前端企业高频问答题
04-18
JavaScript: 数据类型、面向对象、继承、闭包、插件、作用域、跨域、原型链、模块化、自定义事件、内存泄漏、事件机制、异步装载回调、模板引擎、Nodejs、JSON、ajax等。 其他: HTTP、安全、正则、优化、重构、...
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
3.3.1 IE XSS Filter的实现原理 53 3.3.2 Chrome XSSAuditor的工作原理 55 3.4 文档的预处理 56 3.4.1 浏览器对HTML文档的标准化 56 3.4.2 设置兼容模式 57 3.5 处理脚本 59 3.5.1 脚本的编码 60 3.5.2 IE的...
HCIE-Datacom V1.0 培训材料全套PPT带批注
04-11
03 网络安全技术.pptx 04 MPLS原理与配置.pptx 05 MPLS LDP原理与配置.pptx 06 MPLS VPN原理与配置.pptx 07 MPLS VPN部署与应用.pptx 08 MPLS L3VPN跨域.pptx 09 EVPN原理与配置.pptx 10 IPv6路由.pptx 11 IPv6过渡...
什么是跨域、为什么要跨域、怎么解决跨域
热门推荐
qq_46034942的博客
04-29 1万+
什么是跨域、为什么要跨域、怎么解决跨域 ​ ​ 例如:http://192.168.0.1:8080与https://192.168.3.1:8080不是同源,因为协议不同,第一个冒号前面的为协议,中间的为域名,第二个冒号后面的为端口,只要满足有一处不同,则就不是同源。 所谓跨域就是从 A 向 B 发请求,如若他们的地址协议、域名、端口都不相同,直接访问就会造成跨域问题,跨域是非常常见的现象!请求是跨域的但并不一定会报错,普通的图片请求。css文件请求是不会报错的。报错的条件是浏览器的
什么是跨域跨域详解
weixin_44091311的博客
12-17 4736
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、端口三
跨域常见的解决方案
不想学习的打工人的博客
03-25 1595
跨域是指浏览器在向一个服务器发送请求时,该请求的地址与当前页面的地址不同,即协议、域名、端口号中至少有一个不同,导致浏览器出于安全考虑,阻止了页面与请求之间的交互。
HTTP请求与跨域
David_bdqn的博客
11-11 4859
浏览器发出一个请求到收到响应经历了哪些步骤 1、浏览器解析用户输入的URL,生成一个HTTP格式的请求; 2、先根据URL域名从本地hosts文件查找是否有映射IP,如果没有就将域名发送给电脑配置的DNS进行域名解析,得到IP地址; 3、浏览器通过操作系统将请求通过四层网络协议发送出去; 4、途中可能会经过各种路由器、交换机,最终到达服务器; 5、服务器接收到请求后,根据请求所指定的端口,将请求传递给绑定了该端口的应用程序,如tomcat; 6、tomcat接收请求数据后,按照http协议的格式
安全系列之跨域跨域解决方案
qq_35789269的博客
02-19 1872
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 二、什么是跨域 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域,举几个例子: 三、非同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 Inde
跨域通信/跨域上传浅析
weixin_30457065的博客
10-15 77
web项目跨域问题主要包括跨域通信和跨域上传,下面对这两方面分别做一个分析,具体项目中用哪个方案要看项目具体需求。 跨域通信 jsonp hash server proxy window.name cors postmessage redirect jsonp 原理:发起一个GET请求,回调函数带到请求参数中,把数据发送过去 坏处:服务器需要支持jsoncal...
2024高校网络安全管理运维赛wp
最新发布
toto的博客
05-07 2534
给了login的patch,没一点过滤,考虑普通用户登陆之后新建一个ADMIN,然后直接利用$toLower去覆盖admin的mongo集合。后面没有什么地方有有用信息了,根据题目钓鱼邮件,可能第三段flag就跟DMARC、DKIM 和 SPF有关了。可以先用fqlite看一遍,大概就可以看出flag是根据sort排的,(当然这一步没有问题也不是很大)解析一下主域名,得到提示有三段flag,估计就对应DMARC、DKIM 和 SPF三种方法了。定位到数据部分之后,一眼看到flag数据,接着就是顺序问题了。
如何解决js中XMLHttpRequest不能跨域请求的问题
06-06
在 JavaScript 中,XMLHttpRequest 默认是不允许跨域请求的,这是由于浏览器的安全策略所限制的。要解决跨域请求的问题,可以采用以下几种方法: 1. 使用 JSONP JSONP 是一种利用 JavaScript 标签的 src 属性不受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值