浅析 跨域解决方案

最新推荐文章于 2022-11-11 19:34:49 发布
最新推荐文章于 2022-11-11 19:34:49 发布
阅读量231 收藏
点赞数
分类专栏: 前后端通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_hermit/article/details/79381765
版权

一、同源策略

  • 同源策略(SOP 全称 Same origin policy):是浏览器的一种安全策略

  • 所谓的同源策略,指 浏览器不允许非同源网址的访问

    • 域名 完全相同
    • 协议 完全相同
    • 端口号 完全相同
    • ( URL 中文件路径、锚点、查询字符串 等部分不同,不会影响访问 )

  • 同源策略限制以下几种行为:

    • Cookie、LocalStorage 和 IndexDB 无法读取
    • DOM 和 Js对象无法获得
    • AJAX 请求不能发送

  • 如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击

二、跨域

  • 跨域: 就是非同源的网址 的正常访问(服务端没有跨域的需求)

  • 跨域出现的错误提示: Access-Control-Allow-Origin

  • 具有跨域能力的标签:

    • <script><img> 标签的 src 属性具有跨域请求能力
    • <link> 标签的 href 属性
    • <iframe> 标签

  • 需要跨域的场景:

|URL | 说明 | 是否允许通信|
| — | — | — |
http://www.domain.com/a.js
http://www.domain.com/b.js
http://www.domain.com/lab/c.js |同一域名,不同文件或路径 | 允许
http://www.domain.com:8000/a.js
http://www.domain.com/b.js | 同一域名,不同端口 | 不允许,需跨域
http://www.domain.com/a.js
https://www.domain.com/b.js | 同一域名,不同协议 | 不允许,需跨域
http://www.domain.com/a.js
http://192.168.4.12/b.js | 域名和域名对应相同ip | 不允许,需跨域
http://www.domain.com/a.js
http://x.domain.com/b.js
http://domain.com/c.js | 主域相同,子域不同 | 不允许,需跨域
http://www.domain1.com/a.js
http://www.domain2.com/b.js | 不同域名 | 不允许,需跨域

三、跨域解决方案

最全跨域参考

  • 概述:
    • jsonp 跨域
    • document.domain + iframe 跨域
    • location.hash + iframe 跨域
    • window.name + iframe 跨域
    • postMessage 跨域
    • 跨域资源共享(CORS)
    • nginx 代理跨域
    • nodejs中间件代理跨域
    • WebSocket 协议跨域
1. jsonp 跨域

  • 适用场景: 只能实现 GET 请求的跨域

  • 原理: 应用 <script> 标签的 src 属性 具有跨域请求能力,动态创建 <script> 标签;将 src 属性值定义为 需要跨域的 url;并将 <script> 标签 添加到文档流中

  • 原生js 实现jsonp跨域:

<script>

    var script = document.createElement('script');

    script.type = 'text/javascript';

    // 传参并指定回调执行函数为onBack
    script.src = 'http://www.domain2.com:8080/login?user=admin&callback=onBack';
    document.head.appendChild(script);

    // 回调执行函数(服务器返回时,即执行该函数)
    function onBack(res) {
        alert(JSON.stringify(res));
    }

</script>
  • jquery 实现jsonp跨域:
    • jquery 调用ajax方法时,发现 dataType: jsonp;便动态创建 <script> 标签
$.ajax({
    url: 'http://www.domain2.com:8080/login',
    type: 'get',
    dataType: 'jsonp',  // 请求方式为jsonp
    jsonpCallback: "onBack",    // 自定义回调函数名
    data: {}
});
  • vue.js 实现jsonp跨域:
this.$http.jsonp('http://www.domain2.com:8080/login', {
    params: {},
    jsonp: 'onBack'
}).then((res) => {
    console.log(res);
})
  • 后端node.js 实现jsonp跨域:
var querystring = require('querystring');
var http = require('http');
var server = http.createServer();

server.on('request', function(req, res) {
    var params = qs.parse(req.url.split('?')[1]);
    var fn = params.callback;

    // jsonp返回设置
    res.writeHead(200, { 'Content-Type': 'text/javascript' });
    res.write(fn + '(' + JSON.stringify(params) + ')');

    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');
2. document.domain + iframe 跨域

  • 适用场景: 只能实现 主域相同、子域不同 的跨域

  • 原理: 两个页面都通过js 强制设置document.domain为基础主域,从而实现了同域

  • 缺陷: 允许主子域脚本进行通信,但不涉及 localStorage 、indexedDB 和 XMLHttpRequest 的共享

  • 代码展现:

  • (1) 父窗口 http://www.domain.com/a.html

<iframe id="iframe" src="http://child.domain.com/b.html"></iframe>

<script>
    document.domain = 'domain.com';
    var user = 'admin';
</script>
  • (2) 子窗口 http://child.domain.com/b.html 
<script>

    document.domain = 'domain.com';
    // 获取父窗口中变量
    alert('get js data from parent ---> ' + window.parent.user);
</script>
Mr_hermit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漫谈同源策略(SOP)和跨域资源共享(CORS)
IerkeU的博客
04-22 4197
漫谈.....
辛星浅析跨域传输的CORS解决方案
辛星,前进的路上.
06-10 1359
首先我们有一个概念,那就是“同源准则",也就是same-origin  policy,它要求一个网站(协议+主机+端口号)来确定的脚本、XMLHttpRequest和Websocket无权去访问另一个网站的内容。      如果设置不正确,它通常会报错如下:No 'Access-Control-Allow-Origin' header is present on the requested re
同源策略(SOP)和跨域访问
公众号shadow sock7
04-04 1570
参考: http://web.jobbole.com/83864/ http://louiszhai.github.io/2016/01/11/cross-domain/ https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy所谓同源就是要求, 域名, 协议, 端口相同. 非同源的脚本不能访问或者操作其他
web 跨域问题(SOP/CORS/CSRF)
zdplife的专栏
02-18 2604
同源策略 - same origin policy(SOP) 概念:两个网页同源是指这两个网页的协议,域名,端口全部相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http,域名是www.example.com,端口是80,它的同源情况如下: http://www.example.com/dir2/other.html 同源 ht...
跨域方案浅析
ljw_jiawei的博客
08-11 191
要说跨域首先了解同源策略:  同源策略,它是由Netscape提出的一个著名的安全策略。  现在所有支持JavaScript 的浏览器都会使用这个策略。  所谓同源是指,域名,协议,端口相同。 实现跨域通常用以下三种方法 JSONP:网页通过添加一个script元素,向服务器请求JSON数据,这种做法不受同源政策限制 WebSocket : ws://(非加密)和wss://(加...
浅析前端跨域
weixin_63305031的博客
11-11 1612
浏览器将请求发送给代理服务器,因为同源所以不存在问题,再由代理服务器将请求转发给服务器,服务器处理请求,将资源返回给代理服务器,再由代理服务器转发给浏览器。1、jsonp:原理:利用script标签中src属性,在引入外部资源的时候,不受同源策略限制这样的特点,需要前后台一起进行配置,也只能解决get请求问题,其他请求方式不能解决(开发中不常用):浏览器向服务器发送了请求,服务器也接受到了请求,并且会返回数据给浏览器,但是这个时候,浏览器发现请求回来的数据端口不一致,将数据拦截了。跨域仅仅存在与浏览器上。
项目中使用的跨域解决方案
weixin_34275734的博客
08-30 271
解决办法: 1、JSONP:使用方式就不赘述了,但是要注意JSONP只支持GET请求,不支持POST请求。 2、代理:例如www.123.com/index.html需要调用www.456.com/server.php,可以写一个接口www.123.com/server.php,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这...
浅析JSONP-解决Ajax跨域访问问题
李官瑞
04-29 283
浅析JSONP-解决Ajax跨域访问问题 在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档或脚本 在同一域名下的内容。不同域名下的脚本不能互相访问,即便是子域也不行。这时候“同源策略”就是一个限制了,怎么办呢?采用JS...
webconfig的解决方案怎么添加_解决api 跨域 webconfig添加节点
weixin_39732991的博客
12-22 321
Web API(五):Web API跨域问题一.什么是跨域问题 跨域:指的是浏览器不能执行其他网站的脚本.是由浏览器的同源策略造成的,是浏览器施加的安全限制.(服务端可以正常接收浏览器发生的请求,也可以正常返回,但是由于浏览器的安全策略,浏览器 ...Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试Webpack代理proxy配置,解决本地跨域调试问题,同时允许...
深入浅析Jsonp解决ajax跨域问题
10-22
为了有效理解JSONP解决Ajax跨域问题的知识点,我们首先需要明确几个关键概念: ...在实际开发中,开发者更倾向于使用CORS来处理跨域问题,而在一些特定环境下,如果服务器不支持CORS,那么JSONP仍可作为备选方案。
浅析jsopn跨域请求原理及cors(跨域资源共享)的完美解决方法
10-20
在实际开发中,根据项目需求和目标用户的浏览器兼容性选择合适的跨域解决方案。如果需要更高级的定制和安全性,CORS是更好的选择;如果需要兼容较旧的浏览器或简单地获取数据,JSONP则更为适用。
深入浅析同源策略和跨域访问
09-03
2. JSONP(JSON with Padding):JSONP是一种较老的跨域解决方案,通过动态创建`<script>`标签来加载包含回调函数的JSON数据。由于脚本标签不受同源策略限制,服务器返回的脚本可以被当前页面执行。 3. 代理服务器...
前后端通信中的 XML、JSON(浅谈)
Mr_hermit的博客
02-08 4347
一、XML 简介: XML 是一种数据交互格式,特定格式的字符串; 虽然可以传输、存储 复杂数据,但是其解析过于复杂并且体积较大: 使用 XML进行数据交互,需要先将 XML 解析成 DOM文档,再从中提取数据;相对而言,JSON更简单,应用更广泛 XML 是一种可扩展的标记语言,需要申明当前文档是xml格式;很类似 HTML 设计初衷: XML 的设计初衷是 传输、存储数据;有别于 HT...
理解ajax技术,封装原生 ajax请求
Mr_hermit的博客
01-26 2438
一、Ajax 概述 Ajax 是 Asynchronous Javascript And XML 的简写 Ajax是一门技术,并不是一门语言 使用XHTML+CSS来标准化呈现 使用XML和XSLT进行数据交换及相关操作 使用XMLHttpRequest对象与Web服务器进行异步数据通信 使用Javascript操作Document Object Model进行动态显示及交互 使用JavaS
前后端通信中的 表单序列化:原生JS实现、jQuery实现
Mr_hermit的博客
01-26 675
一、FormData 概述 FormData 是在 XMLHttpRequest 2级定义的 作用: 创建 后台需要的 表单格式的数据,便于 XHR传输 适用于: post请求表单序列化(支持上传文件的表单) 兼容: IE9-浏览器不支持 二、创建 FormData 实例 语法: var formData = new FormData() 构造函数 FormData 可接受一个参数:f
HTTP 深入解析
Mr_hermit的博客
02-10 331
一、HTTP 无状态特性的 解决方案 场景: HTTP协议无状态是 HTTP最初的特点之一;但随着技术和实际需求的发展,前后端交互需要承前启后,HTTP无状态的特性严重阻碍了一些应用程序的实现 状态保持技术: Cookie 、Session 应用: 用户登录保持、用户行为跟踪 等 1. Cookie —&gt; 存储在客户端 概述: Cookie 实际上是存于用户硬盘的一个文件 ...
HTTP 基础详解
Mr_hermit的博客
02-09 257
一、HTTP 概述 概述 HTTP协议:是Hyper Text Transfer Protocol的缩写 HTTP协议:是超文本传输协议,广义的讲是资源传输协议 特点: 支持 B/S、C/S 架构模式 简单快速: 客户向服务器请求服务时,只需传送 请求方法、url、请求参数 等 灵活: HTTP允许传输任意类型的数据对象(正在传输的类型由Content-Type加以标记) 短连接: 每次请...
基于ASP.NET+MVC5+EF6开发企业网站.zip
最新发布
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
Ajax跨域解决方案:JSONP、CORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONP、CORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值