跨域问题解析

最新推荐文章于 2024-06-16 22:04:25 发布
最新推荐文章于 2024-06-16 22:04:25 发布
阅读量60 收藏
点赞数
分类专栏: JavaScript 文章标签: http html5 vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OriginalMIxss/article/details/120784514
版权

1 同源策略

同源的定义,两条URL同一协议protocol,同一端口port,同一主机地址host,则两个URL是同源的。
浏览器的同源策略是重要的安全机制,主要跨域规避一下重要问题,防止csrf攻击和xss攻击

2 CROS

一个W3C标准,跨域资源共享(Cross-origin resource sharing),允许浏览器跨源向服务器进行请求不同源的资源。CROS需要浏览器和服务器同时支持,不过客户端浏览器会自动完成,所以只需要服务器实现CORS接口即可

两种请求

浏览器会把CORS请求分为两种,简单请求和非简单请求
同时为了兼容表单form的跨域请求功能,简单请求包括两个特点:

  • 请求方法是下面三者之一
    • HEAD
    • GET
    • POST
  • HTTP的头信息不超过一下几种字段
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

2.1 简单请求

浏览器发现此次请求为跨域请求,请求Headers会自然带上Origin字段,其值为跨域的域名,浏览器会设置Access-Control-Allow-Origin 的字段,其值跨域指定具体的域名,也可是*,表示任意域名。
若Origin指定的域名在许可范围内,服务器返回的响应,会多出几个共同前缀 Access-Control头信息的字段:

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
  • Access-Control-Allow-Origin:必填字段,它的值要么是请求时Origin字段的值,要么是一个*
  • Access-Control-Allow-Credentials : 可选字段,表示是否为发送cookie请求,浏览器CORS默认不带cookie,设为true时,表示服务器中可以接受带cookie的跨域请求
  • Access-Control-Expose-Headers,CORS请求时,拿到的响应只能有六个字段Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,若其他字段值,服务器需放在Access-Control-Expose-Headers中返回去

2.2 非简单请求

预检测请求

浏览器检测到是非简单请求,会自动会发出一次预检测请求,返回码是204,预检测通过才会真正发出请求,这才返回200。预检请求请求方法是OPTIONS,还有上文提到的Origin,除此之外还有

  • Access-Control-Request-Method:必须的,说明浏览器的CORS请求会用到哪些HTTP方法
  • Access-Control-Request-Headers:指定浏览器CORS请求会额外发送的头信息字段
    预检测信息的检验也有会返回一些特殊字段:
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

浏览器的正常请求和响应

一旦服务器通过预检测请求后,以后每次浏览器都和简单请求也有,带上Origin字段,服务器也会响应Access-Control-Allow-Origin 字段

3 JSONP

  • JSONP是利用script标签没有跨域限制漏洞,网页跨域从其他域得到JSON数据。JSONP的请求也需要服务器支持
  • JSONP简单兼容性好,但是仅支持get方法,有局限性,其会受到XSS攻击
  • 实现流程:
    • 浏览器事先准备一个接受数据的全局函数
    • 浏览器解析到外联的script标签,发出请求
    • 服务端收到请求,返回函数调用
    • 客户端收到数据,执行回调

4 postMessage

postMessage是HTML5 的API,是跨域实现跨域操作的windows熟悉,跨域解决下面的问题:

  • 页面和其打开的新窗口的数据传递
  • 多窗口之间消息传递
  • 页面与嵌套的iframe消息传递
  • 上面三个场景的跨域数据传递
    -postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
    otherWindow.postMessage(message, targetOrigin, [transfer]) 其中message是要发送到其他window的数据,targetOrigin是指定哪些窗口跨域接受

5 websocket

Avici_Mix
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOS 混合打包跨域问题分析和处理
sinat_39498160的博客
02-28 436
IOS 混合打包跨域问题分析和处理
Nginx 代理解决跨域问题分析
qigeminghao的博客
01-18 2036
当你遇到跨域问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。 分析前准备: 前端网站地址:http://localhost:8080 服务端网址:http://localhost:59200 首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的 当网站8080去访问服务端接口时,就产生了跨域问题,那么如何解决?接下来我把跨域遇到的各种情况都列举出来并通过nginx代理的方式解决(后台也是一样的,只要你理解的原理)。 跨域主要涉及4个响.
Ajax跨域问题分析
Darryl Cao的博客
08-02 213
前言 从刚接触前端开发起,跨域这个词就一直以很高的频率在身边重复出现,一直到现在,已经调试过N个跨域相关的问题了,16年时也整理过一篇相关文章,但是感觉还是差了点什么,于是现在重新梳理了一下。 个人见识有限,如有差错,请多多见谅,欢迎提出issue,另外看到这个标题,请勿喷~ 题纲 关于跨域,有N种类型,本文只专注于ajax请求跨域(,ajax跨域只是属于浏览器"同源策略"中的一部分,其它的还有C...
跨域问题分析
imagine_tion的博客
09-23 451
跨域问题分析 目前很多应用开发都是多客户端的,前端调用后端提供的 API 来获取数据,很多都是前后端分离的架构,但这样相比之前的单应用系统会带来跨域的问题。 一、跨域问题的由来 1.游览器的同源策略 早在1995年,Netscape 公司就在浏览器中引入了“同源策略”。最初的 “同源策略”,主要是限制Cookie的访问,A网页设置的 Cookie,B网页无法访问,除非B网页和A网页是“同源”的。那么怎么确定两个网页是不是“同源”呢,所谓“同源”就是指**“协议+域名+端口”**三者相同,即便两个不同的域名
跨域问题分析总结
Climber
06-09 145
本文整理了在开发工作中遇到的几种跨域问题浏览器控制台产生的报错信息,针对这几种报错信息进行分析,并尝试解决。旨在通过对这些问题的分析,反映出结合浏览器报错信息,对跨域问题的调试方法。
前端跨域问题解析和解决方法
weixin_42429220的博客
04-24 925
本篇文章将深入介绍前端跨域问题,包括什么是跨域跨域产生的原因、常见的跨域解决方案,同时还会讲解每种跨域解决方案的优缺点。JSONP的原理是利用script标签可以跨域访问数据的特性,通过在URL中添加回调函数的参数,让服务端返回一段指定的 JS 代码,并在客户端中执行该代码。代理的原理是使用ajax向自己的服务器发起请求,服务器拿到请求后再利用语言本身的http库向对方服务器发起请求,拿到数据后,再返回给前端。同源策略是一种安全策略,它规定了不同源之间的脚本和文档之间的交互是被禁止的。
IOS 跨域问题分析和处理
yangwubolwg的博客
06-10 3387
移动端 混合开发 跨域
什么是跨域?怎么解决跨域问题
热门推荐
lymt95的博客
11-27 2万+
同源策略 同源策略案例 什么是跨域 跨域解决方法 1.ajax的jsonp 2.CORS方式 3.nginx 转发
前端ajax跨域问题分析
bbirdsky
06-03 1752
产生Ajax跨域的三要素 浏览器限制:浏览器出于安全考虑,对xhr请求进行限制 XHR请求:浏览器只会限制xhr(XmlHttpRequest)请求,只要不是xhr请求就不会有跨域问题 跨域条件:域名、端口、协议任何一个不相同,浏览器会认为是跨域 备注:跨域并不是服务器不允许前端调用,可以从调试工具中发现xhr请求是有返回值的。 解决跨域问题 修改浏览器配置:修改浏览器设...
深入分析Javascript跨域问题
10-24
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。这里把涉及到跨域的一些问题简单地整理一下
ajax跨域问题分析与springboot解决方法
01-08
前后端分离 ajax VsCode 插件 作用:模拟一个默认在5500端口的本地服务 jq ajax主要参数 $.ajax({ //请求方式 type:'POST', //发送请求的地址 ... //服务器返回的数据类型 ... //发送到服务器的数据,对象必须为key/...
Java开发中解决Js的跨域问题过程解析
10-15
主要介绍了Java开发中解决Js的跨域问题过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Vue跨域请求问题解决方案过程解析
10-14
主要介绍了Vue跨域请求问题解决方案过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Ajax和跨域问题深入解析
10-20
主要为大家详细介绍了Ajax和跨域问题,告诉大家什么Ajax,什么是跨域?具有一定的参考价值,感兴趣的小伙伴们可以参考一下
docker login 报错: http: server gave HTTP response to HTTPS client
一只奋斗的猪
06-16 134
这个错误提示意味着的 `Docker` 客户端正在尝试通过 `HTTPS` 协议连接到一个只接受 `HTTP` 连接的服务器。这是因为 `Docker` 默认会尝试使用 `HTTPS` 连接到 `Docker Registry`。
代理IP协议有何区别?深入了解 SOCKS5、HTTP 代理
最新发布
Ssm2022的博客
06-16 729
在数字通信领域,数据安全和匿名性都是非常重要的指标。互联网的不断发展催生了几种协议,每种协议都有独特的优势和挑战。其中,SOCKS5 代理、HTTP代理最为广泛使用,下面给大家一起讨论,HTTP代理与 SOCKS5代理,有什么区别?
HTTP!!!
不懂编程的菜鸟
06-16 418
7) 片段标识符区分页面中的不同部分(文档类网站)
HTTP-代理
m0_73280507的博客
06-16 396
web代理服务器是网络的中间实体,代理位于客户端和服务器之间,扮演者中间人的角色,在各端点之间来回传递http报文。
域名和ip之间的跨域问题
09-17
域名与IP之间的跨域问题是指在网络通信中,当我们通过域名访问网站时,实际上需要通过域名解析获取对应的IP地址,然后再通过这个IP地址与目标服务器进行通信。这个过程中可能会出现跨域的问题。 跨域问题的主要原因...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值