【同源策略】基础内容

最新推荐文章于 2024-05-21 18:25:04 发布
最新推荐文章于 2024-05-21 18:25:04 发布
阅读量833 收藏 5
点赞数 1
分类专栏: 前端学习笔记 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JT61100/article/details/124224871
版权

文章目录

同源策略

浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。

所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascriptActionScript)在没明确授权的情况下,不能读写对方的资源。

简单的来说,浏览器不允许包含在腾讯页面的脚本访问阿里巴巴页面的数据资源,会受到同源策略的限制

demo:本地访问百度资源

url(资源定位器)的构成

协议://域名(端口号、参数、查询等)

http://www.zhidao.baidu.com

协议:http / https

域名:www.zhidao.baidu.com

端口:80/ 90 / 3000等

这里的同源指的是:同协议,同域名和同端口

域名解析

1、域名是倒着解析的

.com 顶级域名

baidu.com 属于一级域名

zhidao.baidu.com 属于二级域名

www 是一级域名前缀 表示万维网维护的

www.baidu.com 属于特殊的二级域名

zhidao.baidu.com 属于 百度自己维护的网络地址

2、顶级域名

com org net 属于顶级域名,是在全世界范围内解析的,cn hk 是在一个地区解析的,

.cn(中国)

.com(商业机构)

.net(从事互联网服务的机构)

.org(非赢利性组织)

.com.cn(国内商业机构)

.net.cn(国内互联网机构)

.org.cn(国内非赢利性组织)

dns 先根据顶级域名判断网络范围在根据域名查找主机 IP 地址

前缀就不管了,理论上 www 开头相当于占位用的

在国外一般不写 www 国内风气就是写 www

3、端口

如果把 IP 地址比作一间房子 ,端口就是出入这间房子的门

真正的房子只有几个门,但是一个 IP 地址的端口可以有很多

浏览网页服务默认的端口号都是80,因此只需输入网址即可,不用输入:80

4、当你在浏览器里输入一个url发生了什么

简单归纳:(画图)

  • 浏览器通过 DNS 域名解析到服务 IP(ping www.baidu.com)

  • 客户端(浏览器)通过 TCP 协议建立到服务器的 TCP 连接(三次握手)

  • 客户端(浏览器)向 web 服务器端(HTTP 服务器)发送 HTTP 协议包,请求服务器里的资源文档 (telnet 模拟)

  • 服务器向客户端发送 HTTP 协议应答包

  • 客户端和服务器断开(四次挥手),客户端开始解释处理 HTML 文档

TCP/UDP(传输层协议)

面向连接的 TCP

TCP(Transmission Control Protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个 TCP 连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。

面向非连接的 UDP 协议

“面向非连接”就是在正式通信前不必与对方先建立连接,不管对方状态就直接发送。与手机短信非常相似:你在发短信的时候,只需要输入对方手机号就 OK 了。
UDP(User Data Protocol,用户数据报协议)是与 TCP 相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去!

三次握手

1、先 Client 端发送连接、请求报文

2、Server 端接受连接后回复 ACK 报文,并为这次连接分配资源

3、Client 端接收到 ACK 报文后也向 Server 端发送 ACK 报文,并分配资源,这样 TCP 连接就建立了

四次挥手

1、Client 端发起中断连接请求,也就是发送 FIN 报文。Server 端接到 FIN 报文后,意思是说“我 Client 端没有数据要发给你了”,但是如果你还有数据没有发送完成,则不必急着关闭(Socket),可以继续发送数据。

2、server 发送 ACK ,“告诉 Client 端,你的请求我收到了,但是我还没准备好,请继续等我的消息”。

wait:这个时候 Client 端就进入 FIN_WAIT 状态,继续等待 Server 端的 FIN 报文。

3、当 Server 端确定数据已发送完成,则向 Client 端发送 FIN 报文,“告诉 Client 端,好了,我这边数据发完了,准备好关闭连接了”。

4、Client 端收到 FIN 报文后,“就知道可以关闭连接了,但是他还是不相信网络,怕 Server 端不知道要关闭,所以发送 ACK 后进入 TIME_WAIT 状态,如果 Server 端没有收到 ACK 则可以重传。”,Server 端收到 ACK 后,“就知道可以断开连接了”。Client 端等待了 2MSL 后依然没有收到回复,则证明 Server 端已正常关闭,那好,我 Client 端也可以关闭连接了。Ok,TCP 连接就这样关闭了!

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7vsIqCRs-1650157903734)(E:.\同源策略imges\0-1.png)]

应用层协议:http https等

超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版

上面的协议为了建立客户端与服务器端的连接,此协议为了让两者进行沟通

为什么要有此协议呢,让计算机之间按照规矩说话,你问我答,你怎么问我怎么答,否则计算机各说各话,没办法沟通

http (请求报文,响应报文) 通过报文进行沟通

  • 请求报文
    • 请求行
      • 请求方法(GET、POST、DELETE、HEAD、TRACE、OPTION
      • 请求资源 (URL)
      • 请求协议版本(HTTP/1.1)
    • 请求头
      • http://tools.jb51.net/table/http_header
    • 请求主体
      • 表单提交数据如:name=aimee&age=18;
  • 响应报文:
    • 响应头
      • 响应协议版本号(HTTP/1.1)
      • 响应状态码(200)
      • 响应状态文字(0K)
      • http://tool.oschina.net/commons?type=5
      • (响应状态码)
    • 响应行
      • http://tools.jb51.net/table/http_header
    • 响应主体
      • ‘sign success’ (注册成功)
状态码定义说明
1xx信息接到请求继续处理
2xx成功成功的收到,理解,接受
3xx重定向为了完成请求需要进行另一部措施(如直接重浏览器缓存获取资源,或跳转到其他页面)
4xx客户端错误请求语法有错误,不能完全符合要求
5xx服务器错误服务器无法完成明显有效的请求

常见的 http 状态码

  • 成功状态码:
    • 200 服务器成功返回内容
    • 301/2 临时/永久重定向
    • 304 资源未被修改过
  • 失败状态码:
    • 404 请求内容不存在
    • 500 服务器暂时不可用
    • 503 服务器内部错误

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8B9NbcSL-1650157903735)(E:.\同源策略imges\0-2.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JLsflcdV-1650157903736)(E:.\同源策略imges\0-3.jpg)]

请求方方法 GET POST 的区别

http 协议里实际上没有区别!搞什么鬼?

常规理解:

1、GET 使用 URL 或 Cookie 传参,而 POST 将数据,放在 BODY 中。 ? NAME = ‘CST’&AGE=18

2、GETURL 会有长度上的限制, POST 可以传输很多数据

3、POSTGET 安全

但其实 HTTP 协议里没有规定 POST 数据就要放在 BODY 里, 也没有要求 GET 数据就一定要放在 URL 中而不能放在 BODY 中

HTTP 协议对 GETPOST 都没有对数据的长度进行限制,两方面原因造成数据限制的原因

1、早期浏览器会对 URL 长度进行限制(浏览器 URL 输入框)

2、浏览器会对 Content-length 进行限制,这是为了服务器安全和稳定

浏览器缓存机制(http)

304 上次缓存的资源没有改变------浏览器如何知道是否直接取缓存的内容?

理解部分:请求、响应头

请求头:

if-None-Match: 匹配 etag 如果它修改了 不取缓存

If-Modified-Since:将先前服务器端发过来的最后修改时间戳发送回去

响应头:
etag ==> 标记图片资源

last-Modified (服务器最后修改的时间)和 etag 配合使用

ETagsIf-None-Match 的工作原理是在 HTTP Response 中添加 ETags 信息。当客户端再次请求该资源时,将在 HTTP Request 中加入 If-None-Match 信息(ETags 的值)。如果服务器验证资源的 ETags 没有改变(该资源没有改变),将返回一个304状态;否则,服务器将返回200状态,并返回该资源和新的 ETags

  • Date: 服务器响应内容日期

  • Cache-control:内容缓存时间

  • no-cache:不被缓存的,只不过每次在向客户端(浏览器)提供响应数据时,缓存都要向服务器评估缓存响应的有效性。

  • no-store:用于防止重要的信息被无意的发布。在请求消息中发送将使得请求和响应消息都不使用缓存。 根据缓存超时

  • max-age:指示客户机可以接收生存期不大于指定时间(以秒为单位)的响应。

  • min-fresh:指示客户机可以接收响应时间小于当前时间加上指定时间的响应。

  • max-stale:指示客户机可以接收超出超时期间的响应消息。如果指定max-stale消息的值,那么客户机可以 接收超出超时期指定值之内的响应消息。

  • Expires:内容保质期,表示存在时间,允许客户端在这个时间之前不去检查(发请求),等同 max-age 的效果。但是如果同时存在,则被 cache-control 的 max-age 覆盖

以秒为单位)的响应。

  • min-fresh:指示客户机可以接收响应时间小于当前时间加上指定时间的响应。

  • max-stale:指示客户机可以接收超出超时期间的响应消息。如果指定max-stale消息的值,那么客户机可以 接收超出超时期指定值之内的响应消息。

  • Expires:内容保质期,表示存在时间,允许客户端在这个时间之前不去检查(发请求),等同 max-age 的效果。但是如果同时存在,则被 cache-control 的 max-age 覆盖

网站如何统计用户从何点击而来 ==> referer:如果从浏览器地址栏里直接输入地址请求头没有 referer

宁阿宁阿宁
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
万维网WWW
weixin_30652897的博客
06-23 6317
万维网WWW(World Wide Web),万维网是一个大规模的、联机式的信息储藏所,英文简称为Web。 万维网用链接的方法能非常方便地从互联网上的一个站点访问另一个站点(也就是所谓的“链接到另一个站点”), 从而主动地按需获取丰富的信息。 超文本是万维网的基础。 万网网以客户服务器方式工作。上面所说的浏览器就是在用户主机上的万维网客户程序。万维网文档所驻留 的主机则运行服务器程序,因...
深入浅析同源策略和跨域访问
09-03
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到...可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现
爬虫爬取www.newdianying.com心心电影网电影资源实例
qq_42772633的博客
08-15 1万+
①解析首页地址 提取分类信息 [py] view plaincopy #解析首页 def CrawIndexPage(starturl): print “正在爬取首页” page = __getpage(starturl) if page==”error”: return page = page.decode(‘gbk’, ‘ignore’) tree = etree.H...
输入www.baidu.com后发生的事情
热门推荐
Lee's site
06-07 2万+
我们假设您想要访问 www.baidu.com 查找一些你所需要的东西。 您将 www.baidu.com 键入浏览器的地址栏。 浏览器检查缓存中的DNS记录,以查找 www.baidu.com 的相应IP地址。 DNS(域名系统)是一个数据库,用于维护网站名称(URL)及其链接的特定IP地址。互联网上的每个URL都有一个唯一的IP地址。IP地址属于托管我们请求访问的网站的服务器的计算机。例如,...
前端基础入门三大核心之HTML篇 —— 同源策略的深度解析与安全实践
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 815
同源策略(Same-origin policy)是一种约定,由Netscape公司于1995年引入,旨在防止不同源的网页之间相互干扰和恶意操作。简而言之,该策略规定了浏览器允许脚本访问的资源范围,仅限于与当前网页同源的资源。所谓“同源”,指的是协议、域名和端口号完全相同。同源策略作为Web安全的基石,其重要性不言而喻。然而,在日益复杂的Web应用环境中,灵活而安全地处理跨域通信成为了前端开发者必备的技能。
HTTP从入门到精通
Umbrella Corporation
10-12 1万+
一 、基础概念 URL 请求和响应报文 二、HTTP 方法 GET HEAD POST PUT PATCH DELETE OPTIONS CONNECT TRACE 三、HTTP 状态码 1XX 信息 2XX 成功 3XX 重定向 4XX 客户端错误 5XX 服务器错误 四、HTTP 首部 通用首部字段 请求首部字段 响应首部字段 实体首部字段 五、具体应用 连接管理...
HTTP协议中的1xx,2xx,3xx,4xx,5xx状态码分别表示什么,列举常见错误码及含义
lgb1997的博客
06-12 1万+
转载:https://www.cnblogs.com/zouer/p/4991948.html        HTTP协议状态码,是指在HTTP协议运作中由客户端发出请求连接,服务端建立连接,客户端发出HTTP请求,服务端返回响应信息,而在这个过程张由于客户端或服务端的问题会返回相应的错误代码并显示给用户,对应的错误代码表示不同的错误信息,根据这个信息用户可以调整相应的操作来修改出现的错误,最终避免错误的再现。   &
14ajax课程_AJAX基础_
10-02
由于同源策略的限制,AJAX请求通常只能访问同源(协议、域名、端口相同)的资源。为实现跨域,可以使用JSONP或者CORS(跨源资源共享)技术。 ### 9. jQuery与AJAX库 为了简化AJAX操作,开发者通常会使用jQuery或...
数据库学习基础课件,内容很全
03-19
本课程件"数据库学习基础课件,内容很全"旨在为初学者提供全面且详尽的数据库学习资源,帮助他们快速入门并深入理解数据库系统的运作机制。 在“数据库基础”这一部分,首先会介绍什么是数据库,以及它在信息系统中...
Ajax基础教程
12-10
- **跨域**:由于同源策略限制,Ajax请求通常只能访问同一域名下的资源。通过CORS(跨源资源共享)或其他方式可解决跨域问题。 ### 7. 实践应用 Ajax在许多场景下都有应用,如: - **表单提交**:实时验证输入,...
前端网络之同源策略
爱前端的程序媛的博客
03-14 675
同源策略及其解决方案
前端同源策略和跨域详解
mkbird的博客
09-24 1390
webcoket作为一种常用于实时聊天的协议,本身就不存在跨域问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端和服务器中间使用一个代理服务器,代理服务器和客户端同源,代理服务器和服务器进行数据交互,这样就实现了跨域。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
web前端的同源策略是什么?
āáǎà
05-08 823
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
【网络基础】初级前端需要掌握知识,什么是同源策略与跨域,如何解决跨域问题
庞囧的博客
04-24 420
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。跨域请求其实是非常常见的,比如一些网站下面有很多子域,同是一家人还不能访问就很离谱,于是出现了很多解决跨域问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
网络 浏览器同源策略、跨域、解决跨域(分享)
weixin_60547084的博客
03-31 1737
文章目录1. 同源策略 1. 同源策略
什么是“同源策略”?
summermermercha的博客
11-09 57
同源策略(Same-Origin Policy)是一种重要的安全概念,它是由网页浏览器实施的一种策略,用来限制一个源(origin)的文档或脚本如何与另一个源的资源进行交互。同源策略规定,如果两个页面的协议、域名和端口号都相同,则它们有相同的源。只有当这三个部分完全匹配时,一个页面上的脚本才能无障碍地访问另一个页面的DOM并与之交互,包括读取和修改另一个页面的内容。根据同源策略,只有第一个和第二个URL是同源的,其他的都不是,因为至少有一个部分(协议、子域或端口)不同。
什么是同源策略
qq_39465116的博客
07-20 6439
同源策略限制的内容有。
同源策略与跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
04-nginx的跨域、静态资源防盗链、rewrite
qq_43788522的博客
08-29 905
nginx的跨域、静态资源防盗链、rewrite
跨域问题和不同源策略的异同
最新发布
06-01
跨域问题是指当一个 Web 应用程序向另一个源(域、协议或端口)的资源发出 HTTP 请求时,会遇到限制。这种限制叫做同源策略(Same-Origin Policy)。同源策略是浏览器最核心、最基础的安全功能,也是 Web 应用程序的基石。 同源策略限制了一个源(协议、主机和端口)下的文档或脚本如何能够与来自另一个源的资源进行交互。这里的“交互”包括了如下几个方面: 1. Cookie、LocalStorage 和 IndexDB 等存储型内容 2. DOM 节点树 3. AJAX 请求发送后,获取到的数据内容 4. 发送 AJAX 请求的过程 而跨域问题则是在违反同源策略后,出现的安全问题,包括但不限于 CSRF 和 XSS 等。 总结一下两者的异同: - 同源策略是浏览器核心安全功能,用于限制不同源之间的交互。 - 跨域问题是在同源策略限制下,违反了安全规则后产生的问题。 - 同源策略主要限制了 Cookie、LocalStorage、DOM 节点树和 AJAX 请求等方面的交互。 - 跨域问题包括 CSRF 和 XSS 等安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值