何为浏览器的同源策略以及跨域的常用方式

最新推荐文章于 2023-09-27 11:27:58 发布
最新推荐文章于 2023-09-27 11:27:58 发布
阅读量230 收藏
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Charminglsy/article/details/93257460
版权

浏览器的同源策略:
​何为同源?只有当协议、端口、和域名都相同的页面,则两个页面具有相同的源。只要网站的 协议名protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用,会受到同源策略的限制。
​ 同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。浏览器的同源策略,出于防范跨站脚本的攻击,禁止客户端脚本(如 JavaScript)对不同域的服务进行跨站调用(通常指使用XMLHttpRequest请求)。

特别注意两点:
1、如果是协议和端口造成的跨域问题“前台”是无能为力的;
2、在跨域问题上,域仅仅是通过“URL的首部”来识别而不会去尝试判断相同的ip地址对应着两个域或两个域是否在同一个ip上。
URL的首部:指window.location.protocol +window.location.host,也可以理解为“Domains(域名), protocols(协议) and ports(端口) must match”。

跨域请求方式
​ 解决跨域问题,最简单的莫过于通过nginx反向代理进行实现,但是其需要在运维层面修改,且有可能请求的资源并不再我们控制范围内(第三方),所以该方式不能作为通用的解决方案,下面阐述了经常用到几种跨域方式:

方式一:图片ping或script标签跨域
图片ping常用于跟踪用户点击页面或动态广告曝光次数。
script标签可以得到从其他来源数据,这也是JSONP依赖的根据。
缺点:只能发送Get请求 ,无法访问服务器的响应文本(单向请求)
方式二:JSONP跨域
​ JSONP(JSON with Padding)是数据格式JSON的一种“使用模式”,可以让网页从别的网域要数据。根据 XmlHttpRequest 对象受到同源策略的影响,而利用

缺点:

只能使用Get请求
不能注册success、error等事件监听函数,不能很容易的确定JSONP请求是否失败
JSONP是从其他域中加载代码执行,容易受到跨站请求伪造的攻击,其安全性无法确保
方式三:使用跨域资源共享(CORS)来跨域
​ Cross-Origin Resource Sharing(CORS)跨域资源共享是一份浏览器技术的规范,提供了 Web 服务从不同域传来沙盒脚本的方法,以避开浏览器的同源策略,确保安全的跨域数据传输。现代浏览器使用CORS在API容器如XMLHttpRequest来减少HTTP请求的风险来源。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。服务器一般需要增加如下响应头的一种或几种:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400

跨域请求默认不会携带Cookie信息,如果需要携带,请配置下述参数:

"Access-Control-Allow-Credentials": true
// Ajax设置
"withCredentials": true

方式四:window.name+iframe
​ window.name通过在iframe(一般动态创建i)中加载跨域HTML文件来起作用。然后,HTML文件将传递给请求者的字符串内容赋值给window.name。然后,请求者可以检索window.name值作为响应。

iframe标签的跨域能力;
window.name属性值在文档刷新后依旧存在的能力(且最大允许2M左右)。
每个iframe都有包裹它的window,而这个window是top window的子窗口。contentWindow属性返回元素的Window对象。你可以使用这个Window对象来访问iframe的文档及其内部DOM。

 <!-- 
     下述用端口 
     10000表示:domainA
     10001表示:domainB
    -->
    
    <!-- localhost:10000 -->
    <script>
      var iframe = document.createElement('iframe');
      iframe.style.display = 'none'; // 隐藏
    
      var state = 0; // 防止页面无限刷新
      iframe.onload = function() {
          if(state === 1) {
              console.log(JSON.parse(iframe.contentWindow.name));
              // 清除创建的iframe
              iframe.contentWindow.document.write('');
              iframe.contentWindow.close();
              document.body.removeChild(iframe);
          } else if(state === 0) {
              state = 1;
              // 加载完成,指向当前域,防止错误(proxy.html为空白页面)
              // Blocked a frame with origin "http://localhost:10000" from accessing a cross-origin frame.
              iframe.contentWindow.location = 'http://localhost:10000/proxy.html';
          }
      };
    
      iframe.src = 'http://localhost:10001';
      document.body.appendChild(iframe);
    </script>
    
    <!-- localhost:10001 -->

    <!DOCTYPE html>
    ...
    <script>
      window.name = JSON.stringify({a: 1, b: 2});
    </script>
    </html>

直接嵌入其他域(localhots:10001)下的URL会报错,所以需要加载完成替换为当前域的URL(localhots:10000),proxy.html为空白页面,只为解决该问题;

重新设置src(http://localhost:10000/proxy.html)后导致页面不断刷新,所以通过state来控制;
全部获取完结果后,清除该iframe。

方式五:window.postMessage()(不常用)
window.postMessage(message,targetOrigin) 方法是html5新引进的特性,可以使用它来向其它的window对象发送消息,无论这个window对象是属于同源或不同源(可实现跨域),目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法。
message:为要发送的消息,类型只能为字符串;
targetOrigin:用来限定接收消息的那个window对象所在的域,如果不想限定域,可以使用通配符 “*”。

1)创建www.test.com/a.html页面代码:

<script>
function onLoad(){
    var iframe = document.getElementById("iframe");
    var win = iframe.contentWindow;
    win.postMessage('哈哈,我是来自页面a.html的信息哟!','*');//向不同域的www.script.com/b.html发送消息
}
</script>
<iframe id="iframe" src="www.script.com/b.html" onload="onLoad()"></iframe>
 

2)创建www.script.com/b.html页面代码:


<script>
window.onmessage = function(e){//注册message时间来接收消息
    e = e || event;            //获取时间对象
    alert(e.data);             //通过data属性来得到传送的消息
}
</script>

优点:使用postMessage来跨域传送数据还是比较直观和方便的;
缺点: IE6、IE7不支持,所以用不用还得根据实际需要来决定。

方式六:通过document.domain+iframe来跨子域(必须主域相同)
​ 前提条件:这两个域名必须属于同一个基础域名!而且所用的协议,端口都要一致,否则无法利用document.domain进行跨域,所以只能跨子域

​ 在根域范围内,允许把domain属性的值设置为它的上一级域。例如,在”aaa.xxx.com”域内,可以把domain设置为 “xxx.com” 但不能设置为 “xxx.org” 或者”com”。

现在存在两个域名aaa.xxx.com和bbb.xxx.com。在aaa下嵌入bbb的页面,由于其document.name不一致,无法在aaa下操作bbb的js。可以在aaa和bbb下通过js将document.name = ‘xxx.com’;设置一致,来达到互相访问的作用。

方式七:WebSocket
WebSocket protocol 是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很棒的实现。相关文章,请查看:WebSocket、WebSocket-SockJS

需要注意:WebSocket对象不支持DOM 2级事件侦听器,必须使用DOM 0级语法分别定义各个事件。

方式八:代理
同源策略是针对浏览器端进行的限制,可以通过服务器端来解决该问题

DomainA客户端(浏览器) ==> DomainA服务器 ==> DomainB服务器 ==> DomainA客户端(浏览器)

实现HTTP、HTTPS代理请参照: 创建HTTP与HTTPS服务器与客户端

Charminglsy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【核心基础知识】浏览器同源策略跨域方案
仰望星空的代码
08-08 346
一、浏览器同源策略(Same Origin Policy) 源(Origin)是由 URL 中协议、主机名(域名 domain)以及端口共同组成的部分。 如果两个 URL 的源相同,我们就称之为同源。不同源的情况有以下几种: 协议不同。比如:http://www.baidu.com与https://www.baidu.com,http与https协议不同。 主机名不同。比如:http://www.baidu.com与http://sp2.baidu.com。如果是ip地址也是同理。 端口不同。比
浏览器同源策略以及跨域的解决方案
weixin_47356255的博客
05-07 871
1.何为同源 协议、域名、端口号相同的情况下称之为同源。 2.浏览器同源策略 同源策略(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也最基本的安全功能,,同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,...
实现跨域请求的八种方式
weixin_30693183的博客
10-19 123
前端开发中我们经常会遇到跨域请求的情况,处理跨域请求方式很多大概分为八种。 浏览器同源策略 提到跨域不能不先说一下”同源策略”。​何为同源?只有当协议、端口、和域名都相同的页面,则两个页面具有相同的源。只要网站的 协议名protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用,会受到同源策略的限制。​ 同源...
跨域请求的实现方式
weixin_46643055的博客
10-27 175
- Jsonp跨域,核心<script> 最常见的一种跨域方式,其背后原理就是利用了 script 标签不受同源策略的限制,在页面中动态插入了 script,script 标签的 src 属性就是后端 api 接口的地址,并且以 get 的方式将前端回调处理函数名称告诉后端,后端在响应请求时会将回调返还,并且将数据以参数的形式传递回去。 客户端跨域 - CORS 跨域,核心Access-Control-Allow-Origin Cross-Origin Resource..
浏览器同源策略及常见跨域方式
一只小绵羊
05-09 428
同源策略及前端常见跨域
如何实现跨域请求
qq_51728252的博客
01-03 460
1、jsonp 利用了 script 不受同源策略的限制 缺点:只能 get 方式,易受到 XSS攻击 2、CORS(Cross-Origin Resource Sharing),跨域资源共享 当使用XMLHttpRequest发送请求时,如果浏览器发现违反了同源策略就会自动加上一个请求头 origin; 后端在接受到请求后确定响应后会在后端在接受到请求后确定响应后会在 Response Headers 中加入一个属性 Access-Control-Allow-Origin; 浏览器判断响应中的 Ac
同源策略与cors跨域及jsonp劫持
j1044957016的博客
05-31 845
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器同源策略规定: 不同域的客户端脚本在没有
Ajax同源策略以及实现跨域
鸭绒的博客
04-19 1104
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误 : XMLHttpRequest cannot load http://server.runoob.com/server.php. No 'Access-Control-A...
vue 引入pdf跨域问题怎么解决_VUE项目中的跨域问题
weixin_29920889的博客
12-24 3441
【摘要】跨域问题是前端开发人员比较常见的问题, 那么跨域出现的原因, 该如何解决跨域, VUE中对跨域又是怎样处理的呢【作者】田鋆鹏一、 前端为什么会出现跨域问题?跨域问题是浏览器同源策略限制,当前域名的js只能读取同域下的窗口属性而我们常见的网址一般包括协议, 域名, 端口几个部分, 在浏览器同源策略下,协议不同 域名不同 端口不同都会出现跨域浏览器同源策略是确保浏览器安全的特别重要的一个安...
JavaScript跨域总结与解决办法
01-01
跨域问题源自于浏览器的安全策略之一——**同源策略**。同源策略浏览器为了防止恶意网站通过脚本访问其他网站的数据而采取的一种安全措施。它规定了一个脚本只能读取来自同一来源的数据。在该策略下,a.com域名下...
如何实现跨域请求?
最新发布
m0_68464502的博客
09-27 243
2. CORS(Cross-Origin Resource Sharing):服务端通过设置响应头中的`Access-Control-Allow-Origin`字段允许指定源(域名、协议和端口)的跨域请求。服务器端返回的数据需要包裹在一个指定的回调函数中,前端将回调函数作为参数传入,并在响应中执行该回调函数,从而获取到数据。3. 代理服务器:设置一个代理服务器,将前端请求发送到同一域名下的后端服务器,再由后端服务器转发到目标服务器,最后将响应返回给前端。同时也要考虑安全性和风险,避免产生安全漏洞。
解决同源策略问题(服务器端)
bennybi的博客
11-19 597
目录 问题描述: 服务器端解决方案 - Apache2 问题描述: front.local.com 为前端网站(A站), img.local.com 为图片站(B站),当A站中的js访问到B站资源时,报错误:"The image has been blocked byCORS policy",即浏览器同源策略限制了访问。 服务器端解决方案 - Apache2 首先, 确定apahe2.conf 有mod_headers支持 LoadModule headers_module /usr.
浏览器同源策略,常见实现跨域方式
Wu hao's blog
10-14 225
什么是同源策略同源:协议,域名,端口号,三者相同。 同源策略:是浏览器本身的安全策略。浏览器不能执行其他网站的脚本,用于限制一个 origin 的文档或者它加载的脚本如何能与另一个源的资源进行交互,它能帮助阻隔恶意文件,减少可能被攻击的媒介。是一种约定,它是浏览器最核心,最基本的安全功能。 什么是跨域跨域:指的是非同源的资源之间尝试着进行交互通信,而由于受浏览器同源策略的限制,无法正常进行交互通信。 跨域出现的原因:浏览器同源策略限制,浏览器不能执行其他网站的脚本。它是由浏览..
跨域请求的方式即实现
Jmyeat的博客
05-27 339
跨域请求的三种方式 解决方法 前后端配合; jsonp; CORS – 跨域资源共享Php 服务器代理 跨域请求的方式即实现 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 当发送方地址 和 接受放地址传输协议 域名 端口号 有任意一个不一样就是触发了 同源策略 ajax核心目标是什么 : // 发起请求 , 接收响应; 解决方法 一. 前后端配合; jsonp; 原理 http 默认端口是 80; https 默认端口是443; 浏览器的哪些请求不受同源
实现跨域请求的几种方式
weixin_47323421的博客
06-20 148
实现跨域的几种方式 1.jquery的jsonp的方式 2.@CrossOrgin注解方式
实现跨域请求的三种方法
Mine____的博客
03-17 620
同源策略 同源策略是由浏览器给的 浏览器不允许我们向别人发送请求,只能向自己的服务器发送请求 当我们想向别人的服务器发送请求的时候,就会被浏览器阻止了 什么是 “别人的服务器” 呢? 当 请求协议/域名/端口号 有任意一个不同的时候,那么就算是别人的服务器 这个时候就会触发同源策略 我们管触发了 同源策略 的请求叫做跨域请求 实现一个跨域请求 有的时候我们是需要实现跨域请求的 我们需要...
跨域请求的五种方式的实现与原理
醉死梦红尘的博客
08-18 1248
最近刚刚研究了一下跨域的问题做一个总结 我准备分为三步来说: 一、跨域的产生 二、如何实现跨域 三、跨域不同方法小节 一、跨域的产生 为了对JavaScript 施加安全限制使浏览器不能执行其它网站的脚本,因此浏览器提出了同源策略来进行限制. 根据百度百科 同源策略它是由 Netscape 提出的一个安全策略,它是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能可能都会受到影响,现在所有支持JavaScript的浏览器都会使用这个策略. 同源是指 : 协议、域名、端口号都相同,只.
ajax实现跨域请求的三种方法
qq_27905183的博客
08-10 5867
跨域的概念 域名的组成:协议号(http)//子域名(www).主域名(google):端口号(8888) 当协议、子域名、主域名、端口号中任意一个不相同时,就认为他们是不同的域。不同的域之间请求资源,叫做跨域请求 实现跨域的第一种方法–代理 比如在北京和上海都有一台服务器,北京的后端直接访问上海的服务器进行数据获取,北京的前端只需要对北京的服务器进行数据请求即可返回数据;他属于后台
理解浏览器同源策略:原理、IE特性和跨域通信
同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止跨域资源共享(Cross-Origin Resource Sharing, CORS)时的潜在安全风险。源的概念源自于网络地址,它由协议(如http或https)、主机名(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值