使用file协议遇到跨域问题的解决方案和原理分析

最新推荐文章于 2024-05-03 21:20:41 发布
最新推荐文章于 2024-05-03 21:20:41 发布
阅读量3.1k 收藏 3
点赞数 1
分类专栏: es6 文章标签: es6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KrystalCSDN/article/details/104505477
版权

 

问题描述

今天尝试用ES6的module特性,引入文件时遇到了跨域问题:

//html
<script type="module" src="./index.js">
</script>

//index.js
import{cars} from './cars.js';
const message=cars[0].make;
document.getElementById('message-element')
  .textContent=message;

//cars.js
//making a module
const carsJson=`[
   {
      "year": 2000,
      "make": "Honda",
      "model": "Accord",
      "price": 2801
   },
   {
      "make": "Nissan",
      "model": "Leaf",
      "year": 2020,
      "price": 1801
   },
   {
      "make": "Ford",
      "model": "F150",
      "year": 2020,
      "price": 19501
   },
   {
      "year": 2021,
      "make": "fwef",
      "model": "cool",
      "price": 1200
   }
]`
export const cars=JSON.parse(carsJson);

解决方案

在atom编辑器中安装了atom-live-server插件,用来在本地开一个服务器,避免了使用file协议,成功的解决了问题。

插件的安装参考了https://blog.csdn.net/Asuna_Yu/article/details/80358949

原因分析

同源策略

起初同源策略的含义是A网站设置的cookie,B网站不能打开,除非两个网站“同源”:协议相同、域名相同、端口相同。

现在,如果非同源,主要有三种行为会受到限制:

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送。

举一个具体的例子:你向登录购物网站A请求接口进行登录,然后A网站的服务器给你发送Set-Cookie,然后你接下来浏览网站A,再次发送请求时,浏览器就会自动将cookie附加在http请求的头字段Cookie中,服务器就知道你已经登陆过了。这时你被打断,打开了网站B(恶意网站),网站B读取了网站A的Cookie并向A的服务器发送请求,在你没有退出登录的情况下,网站B相当于登陆了你的账号。这种攻击叫做CSRF攻击。

preview

同源策略是一件保护用户信息安全的好事,但是有时我们开发的正常操作也会受到影响,如何解决?

<script> <img> <link>这些标签默认是不受到同源策略的限制的,可以跨域请求,常规的请求的Sec-Fetch-Mode域是no-cors。而ES6使用模块Module需要在script标签中指定type="module",这类使用了module的标签是受限于同源策略的,这类请求的Sec-Fetch-Mode域是cors,cors请求的request header的origin必须合法,即必须包含上面报错图中的http,data,chrome,https等协议的信息,file协议是不行的,甚至没有request header的信息。因此,在本地开启http服务器,所以正常了。

ES6标准中对于module有如下描述:

Regular <script> tags can fetch scripts on other domains but modules are fetched using cross-origin resource sharing (CORS). Modules on different domains must therefore set an appropriate HTTP header, such as Access-Control-Allow-Origin: *.

Finally, modules won’t send cookies or other header credentials unless a crossorigin="use-credentials" attribute is added to the <script> tag and the response contains the header Access-Control-Allow-Credentials: true.

也就是说module是需要通过跨域请求访问的资源,不同源的服务端需要设置Access-Control-Allow-Origin字段才可以访问。然后,为了安全,除非在<script>标记中添加了一个crossorigin =“ use-credentials”属性,并且响应包含标头Access-Control-Allow-Credentials:true,否则modules将不会发送cookie或其他标头凭证。

参考文献:

https://www.sitepoint.com/understanding-es6-modules/

 https://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

https://segmentfault.com/a/1190000015597029

Krystalcsdn
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
file协议导致的跨域问题以及解决方案.docx
10-26
file协议导致的跨域问题以及解决方案.docx
ES6 静态文件 模块化 file协议跨域问题解决
weixin_45111619的博客
12-07 1383
之前都是再项目中使用ES6的模块化的语法,最近想写一些基础的例子,出现一些坑。记录下来,希望后来人可以走的更远。 本文不讲import和export的应用了,自行百度。 html 1.引用带有import和export语法的js类型必须改成module。 在script标签中写js代码,或者使用src引入js文件时,默认不能使用module形式,即不能使用import导入文件,但是我们可以再script标签上加上type=module属性来改变方式。 否则路浏览器会报下图错误 更改完成后运行代码,浏览器
file 协议导致的跨域问题以及解决方案
Chorer的博客
04-12 3037
问题复现: 学习 ES6 模块化的时候,写了这段代码: <script src="./aaa.js" type="module"></script> <script src="./bbb.js" type="module"></script> <script src="./aaa2.js" type="module"></scr...
javascript跨域方法、原理以及出现问题解决方法(详解)
10-23
javascript出于安全方面的考虑,不允许跨域调用其他页面的对象。但是在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。跨域简单的理解就是因为javascript同源策略的限制,a.com域名下的js无法操作b.com或者是c.a.com域名下的对象
解决跨域问题的文件
10-11
本博客中提到的解决跨域问题代码。 下载本文件到本地 方法一: 1.随便打开一个cmd命令窗口 2.输入以下三条命令,即可重新启动chorm 第一句:TASKKILL /F /IM chrome.exe 第二句:start chrome.exe --args --disable-web-security --user-data-dir 第三句:pause
浅谈一下跨域问题
前端成长之路
11-20 1043
出于浏览器的同源策略限制。(协议、域名、端口任一不一致视为非同源)同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。导致非同源网站无法共享Cookie、LocalStorage 和 IndexedDB,也无法进行ajax交互。
开发过程中,遇到file协议跨域问题,如何在不做任何配置的情况下快速绕过跨域
charlie________的博客
08-10 544
将下列代码复制到一个bat文件,双击打开即可
前端常用的跨域方案
每天都要努力学习哦~~
01-24 583
目录 前言 跨域 解决跨域方案 一.修改本地HOST: 二.JSONP 三.CORS 四 proxy 前言 发送请求XMLHttpRequest(ajax, $ajax, axois),fetch http://192.168.0.103:8080/ file:///F://vue阶段/vue工程化/_systerm/public/index.html:file协议不允许发送ajax请求 平时项目中,同源请求需求很少,服务器部署的时候是分开的(web服务器,数据服务器),调用第三
跨域问题
qq_36332184的博客
12-08 486
1.什么时候会产生跨域问题? 看一下我们的url组成: https://mp.csdn.net/editor/html?spm=1001.2101.3001.4504 协议://域名:端口号 ?参数主要又四者组成 其中 协议的切换,域名的切换,端口号的切换都会造成跨域问题类似如下: 解决方案 前端解决方案 使用JSONP方式实现跨域调用; 使用NodeJS服务器做为服务代理,前端发起请求到NodeJS服务器, NodeJS服务器代理转发请求到后端服务器; 后端解决方案 nginx.
Ajax请求跨域问题解决方案分析
12-11
本文实例讲述了Ajax请求跨域问题解决方案。分享给大家供大家参考,具体如下: 几乎每种浏览器都存在默认的安全机制,都有同源策略,因为浏览器恶意的把每个外部请求的都当做是黑客攻击,相当于是对自身的保护,所以浏览器在运行脚本时会判断脚本与请求的页面是否是同一来源,这个同一来源,包括1、协议,2、地址,3、端口,只有三者都相同才被认为是同一来源。 一、解决方案: 1,在服务器端的响应头中添加一个http参数: res.setHeader("Access-Control-Allow-Origin", "*"); res.setHeader('Access-Control-Allow-Methods'
PHP Ajax跨域问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
详解ajax跨域问题解决方案
10-19
主要介绍了详解ajax跨域问题解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
现代JavaScript:对ES6+的深入讲解,新型的JS特性以及怎样在项目中使用它们
哎 你看的博客
05-02 558
let 和 const 关键字、模板字符串(Template Strings)、箭头函数(Arrow Functions)、解构赋值(Destructuring)、Promise 和 async/await、类(Classes)、模块(Modules)、展开语法(Spread Operator)、**默认参数(Default Parameters)**、对象/数组的静态方法:
ES6之rest参数、扩展运算符
qq_73918355的博客
04-30 1058
rest参数与arguments变量相似。ES6引入rest参数代替arguments,获取函数实参。扩展运算符能将数组转化为参数序列。以上就是rest参数和扩展运算符的讲解。
ES6入门知识
最新发布
p6448777的博客
05-03 199
**********************************************************************同步任务。***********************************************************************异步任务。【3】如果上一个.then返回了promise对象,我们可以继续通过.then来指定成功的回调函数,这样就解决了回调地狱的问题。主线程是在栈里执行的。栈里的主任务js执行,栈里的异步任务委托给宿主环境执行。
javascript(第三篇)原型、原型链、继承问题,使用 es5、es6实现继承,一网打尽所有面试题
qq_17335549的博客
04-23 1397
总之关于原型这块记住三句话对象有一个内置属性 [[Prototype]],使用 Object.getPrototypeOf(obj) 获取函数有一个公开可访问不可枚举属性 prototype函数的 prototype 属性有一个公开可访问的不可枚举属性 constructor,指向函数本身使用原型继承,是 es5 中实现继承的必须要学会的,同时还要记住原型继承存在的问题!这个时候就有一个新的问题了,就是如何使用 es5 中的知识解决这些问题。答案是将四种继承方式组合起来,取各自的优点。
JavaScript ES6 全新的Set、Map数据结构
yuxingwu9872的博客
04-30 274
也就是说, Object 结构提供了"字符串—值"的对应, Map 结构提供了"值—值"的对应, 是一种更完善的 Hash 结构实现。它类似于对象, 也是键值对的集合, 但是"键"的范围不限于字符串, 各种类型的值(包括对象)都可以当作键。JavaScript 的对象(Object), 本质上是键值对的集合(Hash 结构), 但是传统上只能用字符串当作键。Array.from()方法用于将两类对象转为真正的数组:类似数组的对象和可遍历的对象(包括 ES6 新增的数据结构 Set 和 Map)。
智慧学院智能化项目规划设计方案PPT(45页).pptx
05-03
智慧学院智能化项目规划设计方案PPT(45页).pptx
react使用axios网络请求跨域问题解决
07-14
在 React 中使用 Axios 进行网络请求时,解决跨域问题可以通过以下方法: 1. 在后端服务器开启 CORS:在后端服务器的响应头中添加 CORS 相关的头信息,允许指定的域名进行跨域访问。可以在后端的响应中添加如下的头信息: ``` Access-Control-Allow-Origin: http://localhost:3000 // 允许访问的域名 Access-Control-Allow-Methods: GET, POST, PUT, DELETE // 允许的请求方法 Access-Control-Allow-Headers: Content-Type // 允许的请求头 ``` 请注意,在生产环境中,应该限制允许跨域访问的域名,避免安全风险。 2. 使用代理服务器:可以在开发环境中使用代理服务器来解决跨域问题。在 React 的配置文件(例如 `package.json` 或 `webpack.config.js`)中,将代理服务器的地址配置为 Axios 请求的基础路径。例如: ```javascript axios.defaults.baseURL = '/api'; // 代理服务器的地址 ``` 然后,在网络请求时,只需使用相对路径即可。 3. JSONP (仅适用于 GET 请求):如果后端支持 JSONP,可以使用 Axios 发送 JSONP 请求来避免跨域问题。通过将 `callback` 参数添加到请求 URL 中,使得响应返回一个函数调用。例如: ```javascript axios.get('http://api.example.com/data?callback=handleResponse') .then(response => { // 处理响应数据 }) .catch(error => { // 处理错误 }); ``` 在全局作用域下定义 `handleResponse` 函数,用于处理响应数据。 以上是一些常见的解决跨域问题的方法,你可以根据你的具体情况选择适合的方法。希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值