JavaScript 同源策略和跨域

已于 2023-07-03 19:13:07 修改
阅读量140 收藏 1
点赞数 1
分类专栏: JS 文章标签: javascript 前端 服务器 开发语言
于 2023-04-07 16:52:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jackson_Mseven/article/details/130015708
版权

同源策略与跨域

同源策略:url 的 协议、IP、端口都相同。

跨域:同源策略不满足。

<img> <link><script>:天然允许跨域加载资源

请求跨域解决方案

  • jsonp

    • 原理:利用 <script>,标签没有跨域限制的漏洞,使得网页可以得到从其他来源动态产生的 JSON 数据(前提是服务器支持)
    • 优点:实现简单,兼容性好
    • 缺点:仅支持 GET 方法,容易受到 XSS 攻击

  • CORS

    • 原理:服务器端设置 Access-Control-Allow-Origin 以开启 CORS。该属性表示哪些域名可以访问资源,如设置通配符则表示所有网站均可访问

    • 示例

      // app.js

var app = express();
// CORS跨域-------------------------------------------------------------------------------------
// CORS:设置允许跨域中间件
var allowCrossDomain = function (req, res, next) {
  // 设置允许跨域访问的 URL(* 表示允许任意 URL 访问)
  res.header("Access-Control-Allow-Origin", "*");
  // 设置允许跨域访问的请求头
  res.header("Access-Control-Allow-Headers", "X-Requested-With,Origin,Content-Type,Accept,Authorization");
  // 设置允许跨域访问的请求类型
  res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");
  // 设置允许服务器接收 cookie
  res.header('Access-Control-Allow-Credentials', 'true');
  next();
};
app.use(allowCrossDomain);

  • WebSocket

    • 原理:Websocket 是 HTML5 规范提出的一个应用层的全双工协议,适用于浏览器与服务器进行实时通信场景

    • 示例

      // 在 a 网站直接创建一个 WebSocket 连接,连接到 b 网站即可,
// 然后调用 WebScoket 实例 ws 的 send() 函数向服务端发送消息,监听实例 ws 的 onmessage 事件得到响应内容。
var ws = new WebSocket("ws://b.com");
ws.onopen = function(){
  // ws.send(...);
}
ws.onmessage = function(e){
  // console.log(e.data);
}

  • 代理转发

    • 原理:跨域是为了突破浏览器的同源策略限制,既然同源策略只存在于浏览器,那可以换个思路,在服务端进行跨域,比如设置代理转发。这种在服务端设置的代理称为“反向代理”,对于用户而言是无感知的

      另一种在客户端使用的代理称为 “正向代理”,主要用来代理客户端发送请求,用户使用时必须配置代理服务器的网址,比如常用的 VPN 工具就属于正向代理

    • 示例

      // 1、在 webpack 中代理
// webpack.config.js
// 当浏览器发起前缀为`/api`的请求时都会被转发到 `http://localhost:3000` 这个网址,
// 然后将响应结果返回给浏览器。对于浏览器而言还是请求当前网站,但实际上已经被服务端转发。
module.exports = {
  //...
  devServer: {
    proxy: {
      '/api': 'http://localhost:3000'
    }
  }
};

// 2、在 Nginx 中代理
location /api {
    proxy_pass   http://localhost:3000;
}

页面跨域解决方案

  • postMessage

    • 原理:HTML5 推出了一个新的函数 postMessage() 用来实现父子页面之间通信,而且不论这两个页面是否同源

    • 父页面传子页面示例

      // parent.html
// 父页面地址:https://lagou.com
var child = window.open('https://kaiwu.lagou.com');
child.postMessage('hi', 'https://kaiwu.lagou.com');

// child.html
// https://kaiwu.lagou.com
window.addEventListener('message', function(e) {
  console.log(e.data);
}, false);

    • 子页面传父页面示例

      // child.html
// 子页面地址:https://kaiwu.lagou.com
window.opener.postMessage('hello', 'https://lagou.com');

// parent.html
// 父页面地址:https://lagou.com
window.addEventListener('message', function(e) {
  console.log(e.data);
}, false);

  • 改域

    • 原理:对于主域名相同,子域名不同的情况,可以通过修改 document.domain 的值来进行跨域。如果将其设置为其当前域的父域,则这个较短的父域将用于后续源检查

    • 示例

      有页面地址是 https://www.lagou.com/parent.html,在这个页面里面有一个 iframe,其 src 是 http://kaiwu.lagou.com/child.html

      这时只要把http://www.lagou.com/parent.htmlhttp://kaiwu.lagou.com/child.html 这两个页面的 document.domain 都设成相同的域名,那么父子页面之间就可以进行跨域通信了,同时还可以共享 cookie。

      但要注意的是,只能把 document.domain 设置成更高级的父域才有效果,

      例如在 http://kaiwu.lagou.com/child.html 中可以将 document.domain 设置成 lagou.com。

Jackson Mseven
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JavaScript同源策略访问实例详解
10-18
JavaScript同源策略访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、名和端口完全相同时,...
深入分析Javascript问题
10-24
JavaScript中的问题源于浏览器实施的同源策略(Same-origin policy),这是为了保障用户信息安全,防止恶意脚本从一个网站窃取另一个网站的数据。同源策略规定,只有当协议、名和端口完全相同的两个页面才能...
js同源
weixin_33688840的博客
08-02 164
同源策略 同源是js对能操作那些web内容的一条完整的安全限制。当web页面打开其他浏览器窗口,或者使用iframe的时候,会发挥作用。 即,脚本只能读取和所属文档来源相同的窗口和文档的属性。 文档的来源包含协议,主机,载入文档的url端口。从不同web服务器载入的文档具有不同的来源,同过同一主机的不同端口载入的文档也具有不同的来源。使用http和https的也是不同的来源,因为协议不同。 即,协...
js之同源策略
hugejihu9的专栏
12-06 338
文章来自:源码在线https://www.shengli.me/javascript/381.html     http://www.a.com/index.html 同源 http://www.a.com:81/home.html 不同源,端口号不同 https://www.a.com/home.html 不同源,协议不同 http://www.b.com...
js同源策略
阳光下的冷静的博客
03-14 1663
含义: 浏览器安全的基石是“同源政策”(same-origin policy)“,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是”三个相同“。 同源条件: 协议相同 名相同 端口相同 举例:http://www.example.com/dir/p...
JS同源策略
李子的专栏
10-08 4383
<br />同源策略是对JS代码能够和哪些web内容交互的一条完整的安全限制.当一个web页面使用多个帧(包括<iframe>标记)或者打开其他的浏览器窗口的时候,这一策略会发挥作用;当使用XMLHttpRequest对象脚本化HTTP的时候,同源策略也发挥作用.<br /> <br /> <br />如果两个窗口(或帧)含有的脚本把domain设置成了相同的值,那么这两个窗口就不再受到同源策略的约束,他们可以互相读取对方的属性.例如:<br />document.domain属性设置成统一的.<br />
js的同源策略?
梦里梦一的博客
08-09 889
前言:对这块的了解比较浅薄,随后填坑. 概念 同源策略是浏览器的一个安全机制,只有同协议,同名,同端口才会被视为同源. 产生原因 js可以操作web页面的内容,如果不加限制,各家网站页面则无安全可言. 应用场景 目前所知,同源协议阻止了ajax的,我们不能轻易拿到别家网站的数据....
深入浅析同源策略访问
11-22
同源策略主要针对的是HTML文档,而非静态资源(如JavaScript、CSS、图片等),这些资源虽然可以加载,但JavaScript无法直接读写它们的内容。 同源策略的判断标准是URL的协议、名和端口必须完全一致。例如,`...
javascript同源策略
W1254667的博客
01-20 278
一段脚本只能读取来自于同一来源的窗口和文档的属性,这里的同一来源指的是主机名、议。
js的同源策略是什么?
weixin_61236636的博客
06-25 1506
http协议、名、端口一致为同源策略同源策略是浏览器为了安全访问网页内容而出现的一种措施。 【https协议的默认端口号443,http端口80】非同源策略就是当使用ajax请求时协议、名、端口号中有一项不相同时出现的情况。非同源策略会产生请求。前端可以使用jsonp解决,也可以借助nodejs作为代理请求。jsonp就是借助了script标签的src属性可以源获取脚本来实现请求。获取数据需要前端与后端协商好回调函数,后端把数据放在回调函数中,前端预先声明好回调函数,当数据返回时前端的函数自
什么是同源策略
hck341204的专栏
12-12 354
一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:   假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一 个tab窗口中打开了银行网站,在另...
JavaScript同源策略请求
qq_45700583的博客
09-22 398
1. 什么是同源策略 ?? URL由协议、名、端口和路径组成,如果两个URL同源,则它们的协议、名和端口相同。若页面A要访问B资源,则它们要是同源的,遵循同源策略同源策略 是浏览器上为安全性考虑实施的策略,如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户不知情的情况下出现安全问题。 2.请求 :指的是两个资源非同源请求:出于安全方面的考虑,页面中的JavaScript在请求非同源的资源时就会出 现请求问题。因为不遵循同源策略,我们的请求会被浏览器禁止。 3
请解释一下 JavaScript同源策略
m0_71231013的博客
05-22 357
同源策略:是浏览器的一种安全机制,不允许向非同源的url地址发送ajax请求。 请求:绕过浏览器的同源策略限制,向非同源的url地址发送请求。最主要的两种解决方案,分别是 JSONP和 CORS。 JSONP:出现的早,兼容性好(兼容低版本IE)。是前端程序员为了解决问题,被迫想出来的一种临时解决方案。缺点是只支持 GET请求,不支持 POST请求。 CORS:出现的较晚,它是 W3C标准,属于 Ajax请求的根本解决方案。支持 GET和 POST请求。缺点是不兼容某些低版本...
Javascript面试题 阐述js的同源策略
最新发布
weixin_42686900的博客
02-27 139
同源策略可以有效保护用户的隐私和安全,防止恶意网站进行站攻击。iframe限制:iframe元素加载的页面必须与父页面具有相同源,否则无法通过JavaScript访问iframe中的内容。脚本访问限制:JavaScript脚本只能访问与其所属页面具有相同源的资源,包括读取和修改DOM、发送AJAX请求等。DOM访问限制:JavaScript脚本只能访问与其所属页面具有相同源的DOM元素,不能访问其他页面的DOM。Cookie限制:浏览器只会发送同源请求的Cookie,不会发送给其他源的请求。
javascript同源策略
summergreenhtml的博客
09-17 932
同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。 同源定义 一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:   假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,
JavaScript同源策略是什么
super帅的博客
04-05 1706
在客户端编程语言中,如javascript和 ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。同源策略规定之间的脚本是隔离的,一个的脚本不能访问和操作另外一个的绝大部分属性和方法。那么什么叫相同,什么叫不同的呢?当两个具有相同的协议, 相同的端口,相同的host,那么我们就可以认为它们是相同的同源策略还应该对一些特殊情况做处理,比如限制file协议下脚本的访问权限。本地的HTML文件在浏览器中是通过file协议打开的,如果脚本能通过file
JavaScript编程】浏览器同源策略限制与规避(
猿始森林
07-17 882
浏览器同源政策 含义 所谓"同源"指的是"三个相同"。 协议相同 名相同 端口相同 举例来说,http://www.example.com/src/index.html 这个网址,协议是 http://,名是 www.example.com,端口是 80(默认端口可以省略)。 目的 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。   设想这样一种情况:A网站是一...
什么是JS的同源策略问题?
weixin_57550930的博客
09-28 390
1)什么是同源策略 当两个页面的协议,名和端口都相同的时候,我们称这两个页面是同源 同源策略(英文全称Same origin policy):是浏览器提供的一个安全功能,它限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 简而言之就是浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互。 2)什么是 指的是两个URL的协议,名,端口只要其中一个不一致,就会形成 出现的根本原因浏览器的同源
WEB前端安全之同源策略.pdf
07-02
2. **JSONP(JSON with Padding)**:通过动态创建`<script>`标签来绕过同源策略,服务器返回JavaScript函数调用的形式,实现数据获取。 3. **IFrame**:虽然IFrame内部的页面不能直接访问其父页面的DOM,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jackson Mseven

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值