了解跨域,看这篇就够了!

最新推荐文章于 2024-06-05 00:40:27 发布
最新推荐文章于 2024-06-05 00:40:27 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: JS 文章标签: javascript node.js html5 jquery
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ronychen/article/details/107428203
版权

一、定义:

跨域又名非同源策略请求,同源指的是相同的协议/域名/端口,三者都要一样才叫同源

二、产生跨域的原因

  • 服务器拆分(这样一拆分后域名就不同了)

     web服务器:处理静态资源,比如为kbs.qq.com
 data服务器:业务逻辑和数据分析,包含数据管理asdasd.qq.com
 图片服务器:image.qq.com

  • 调用第三方开源接口,也会产生跨域

三、判断同源和跨域

通过协议、域名、端口三者来判断,只有三者都一样的时候才是同源,其中一项不同就是跨域;

四、跨域方案

1、早期跨域及处理方案(2013年左右)

开发情景:当时代码部署都是部署到同一台服务器上的(同源),但是开发的时候,前端一般都是通过xampp来起一个前端本地的服务,而后端一般给的服务(接口)都是类似于http://api.qq.com这样的真实域名,所以我们这样直接请求数据就相当于跨域了,直接请求是请求不到的;
解决方法:所以当时有一种办法就是通过修改本地host文件,把本地的域名和真实的域名进行关联,这样访问就模拟了同源的效果;

127.0.0.1:3000   http://api.qq.com

2、JSONP

实现原理:
在这里插入图片描述
实现原理及思路解析:

首先客户端会创建一个script标签,通过它的src属性来请求后端的一个接口数据,为什么选择script标签呢?因为script标签的不跨域特性,然后同时将本地创建的一个全局函数,通过callback的方式拼参数拼在地址后面,这时服务器接受到了客户端的请求,它会先开始准备要返回给客户端的数据(data,json格式),然后给客户端返回数据,它返回的是一个类似于调用func函数的字符串,将数据拼在函数的()内,然后当客户端接受到了返回数据(一个函数执行式的字符串),通过解析后,相当于直接执行了全局的func函数,这个解析执行操作是浏览器自身操作的,我们不用管,同时也将data传到了这个函数中,从而达到了客户端向服务器请求数据得到返回的这么一个过程;

注意:
1、这个func函数必须是全局函数,不然返回后不能执行;
2、这种jsonp的方式处理跨域,必须得到服务器端的处理,说白了就是,如果服务器端不接收callback,不给你返回这样格式的字符串数据,你前端再怎么搞也没用;

代码实战:

//html文件,引入两个js文件

<!DOCTYPE html>
<html lang="en">
<script type="text/javascript" src="https://cdn.bootcdn.net/ajax/libs/jquery/3.5.1/jquery.js" ></script>
<script src="./index.js"></script>
<head>
    <meta charset="UTF-8">
    <title>fetch</title>
</head>
<body>
</body>
</html>

//本地index.js,然后再index.html中引入该js文件和jquery

$.ajax({          // 这里通过jquery的ajax方法来实现jsonp跨域,jquery中的ajax封装了jsonp的功能,只要传dataType:“jsonp”即可
    url:'http://127.0.0.1:8001/list',
    method:"get",
    dataType:"jsonp",
    success:(res)=>{
    console.log(res) 
    }
})

//自己写的一个简单web服务

const express = require('express');
const app =express();
app.listen('8001',()=>{
    console.log('ok');
});
app.get('/list',(req,res)=>{
    const {callback=Function.prototype}=req.query;
    const data= {
        code: 0,
        message: '你好'
    };
    res.send(`${callback}(${JSON.stringify(data)})`);
});

缺点:

  1. jsonp这种通过src方式请求的都是资源文件请求,所以有一个明显的问题就是只支持get请求;
  2. jsonp安全性也不高,url容易被劫持,或者服务器返回一个木马程序,浏览器执行就中毒了;

3、CORS跨域资源共享

客户端:还是正常发起请求(ajax,fetch);

服务端:要设置响应头参数,以及处理options试探性 预请求处理
在这里插入图片描述
在这里插入图片描述
要设置的参数有如下: 允许的请求源、是否允许携带凭证、允许的请求头、允许的请求方法

注意: 这里有个注意点,允许源这里有两种设置,一种是还有一种是唯一的一个请求地址,当你设置为时说明,此时允许任务地址来访问该资源,但是此时请求就不能携带cookie了,因为浏览器考虑安全性,如果设置为单一地址,此时时可以携带cookie的;

4、http proxy(代理)

简单原理:
在webpack中可以通过安装webpack-dev-server起一个服务,在webpack.config.js配置文件中的devServer属性中配置相关proxy设置,
它的意思就是说,后续只要是以’/'开头的请求,都会前面自动带上target后面的这个域名, 然后配置了changeOrigin:true,这句话的意思就是说webpack-dev-server会起一个中层代理,相当于用node写了一个中间件,相当于我们客户端的请求会先到这个中间件,中间件中帮我们进行了跨域请求处理,然后把跨域处理后的数据再返回给客户端;
在这里插入图片描述
5、Ngnix反向代理=》不需要前端做什么,了解

6、postMessage方式

概述:
就是通过window.postMessage发送消息,然后通过onMessage方法接受消息,本地页面之间的数据传递,同理换成客户端和服务器之间就相当于也是一种解决跨域的方式;

A页面代码:

在这里插入图片描述

B页面代码:


7、socket.io(websocket协议跨域)

客户端:
在这里插入图片描述
服务端:
在这里插入图片描述

Ronychen’s blog
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
小白怎么入门网络安全?看这篇啦!
xuanyuan_fsx的专栏
09-04 5万+
由于我之前写了不少网络安全技术相关的故事文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人在微信里问我: 我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选? 不同于Java、C/C++等后端开发岗位有非常明晰的学习路线,网路安全更多是靠自己摸索,要学的东西又杂又多,难成体系。 常读我文章的朋友知道,我的文章基本以故事为载体的技术输出为主,很少去谈到职场、面试这些方面的内容。主要是考虑到现在大家的压力已经很大,节奏很快,公众号上是让大家放松的地方,尽量写一些轻快的内容。不
js跨域资源共享 基础篇
11-22
CORS就是为了解决这个问题而提出的,它提供了一种安全可控的方式来实现跨域请求,同时保持浏览器的安全性。 2. **如何实现跨域(跨浏览器支持)?** 实现跨域通常有两种方法:使用`JSONP(JSON with Padding)`或`...
总结一下跨域的几种情况
hxstream的专栏
12-30 1452
在网站开发中,经常会遇到跨域问题,下面总结一下集中常见的跨域问题。1. 不同域名属于跨域,如:www.a.com 和www.b.com,另外www.a.com 和www.a.com.cn也属于不同域名。2. 主域名和子域名(二级域名、三级域名等)跨域,如:www.a.com 和 bbs.a.com 跨域。3. 不同协议属于跨域,如:h
什么是跨域?一文弄懂跨域的全部解决方法
最新发布
06-05 1万+
什么是跨域?一文弄懂跨域的全部解决方法
跨域,只看这篇了!
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
03-20 1275
读完这篇跨域,大抵心下清楚其他跨域的不必看罢了。 ---鲁迅 一、什么时候出现跨域 每个web开发者都会遇到跨域。他们或多或少会知道大概类似于下面这样的知识: 如果请求来源和请求目标的不在同一个服务器上会发生跨域。 但跨域的原因仅此于此吗?先看一个现象。 服务器就一个url @RequestMapping("") public String index (){ retu...
CORS 跨域一篇文章就了!Spring + Spring Security 配置!!
weixin_52834606的博客
09-06 2206
CORS 详情 ! spring 跨域解决 + spring security 解决方案 !
掌握 CORS 跨域请求,读这篇文章就
360技术
11-22 2864
在 Web 前后端分离架构模式下,跨域(跨源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨源 HTTP 请求,同源没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域、JSONP 请求跨域跨域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
了解爬虫,这一篇就了!
u011231755的博客
10-26 421
爬虫基本原理 爬虫的基本原理是基于网站网络协议,根据网址批量获取到网页上的信息操作过程。简单一点说就是用计算机程序来模拟人工点击网页获取数据的过程。 本教程将通过网络协议介绍、http请求流程、网页中的请求与返回、爬虫工作过程来为大家详细介绍爬虫是如何展开工作的。 网络协议 我们经常会在URL的首部会看到http或者https,这个就是访问资源需要的协议类型,爬虫常用的是http和https协议。 http(HyperText Transfer Protocol )超文本传输协议,是互联
新手如何通过挖漏洞赚钱,看这篇了!!!
HUANGXIN9898的博客
06-04 1288
有不少阅读过我文章的伙伴都知道,笔者曾就职于某大厂安全联合实验室。从事网络安全行业已经好几年,积累了丰富的技能和渗透经验。在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了互联网安全防护水平。漏洞去哪挖?SRC即各个公司,厂商创建的漏洞安全响应中心。每家SRC都有着自己的漏洞收取范围以及漏洞收取标准。我这里给大家搜集整理了互联网公司常见的SRC平台。
CORS 跨域, 也许这篇
weixin_34138521的博客
12-12 125
CORS前奏 了解CORS跨域之前,也许我们还应该对跨域这么个东东的一些概念要有些了解。 1. 什么是跨域 广义上的跨域是指一个 域下的文档或脚本试图去请求另一个域下的资源。比如: 资源跳转(a链接)、资源嵌入(link, script)、脚本请求(js发起ajax请求)等。而我们通常所讨论的跨域是指的是狭义上的跨域,指的是由浏览器同源策略限制的一类请求场景。那么什么是同源策略,同源策略又限制了什...
前端必备的 HTTP 知识!看这篇了!!
Pert的博客
09-13 771
html
简单了解django处理跨域请求最佳解决方案
01-20
一、什么是跨域请求 跨域: 简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。这显然是不安全的。为此,浏览器的鼻祖:网景(Netscape)公司提出了优秀的解决方案:著名的浏览器同源...
ajax跨域问题!
08-27
本篇文章将深入探讨AJAX跨域问题,并提供具体的解决方案。 #### 二、同源策略介绍 同源策略是浏览器为了安全考虑而设置的一种机制,它规定只有同源的网页之间才能进行数据交互。所谓“同源”是指协议、域名和端口...
javascript 数组分组多种方式实现
Ronychen的博客
08-18 3723
方式一: 使用for循环方式实现: //数据分组函数(每组500条) function group(data) { var result = []; var groupItem; for (var i = 0; i < data.length; i++) { if (i % 500 == 0) { groupItem != null && result.push(groupItem); groupI
Web components
Ronychen的博客
11-23 1592
组件化介绍 背景: 原先一个复杂页面, 什么是组件化: 组件化的优点: 组件是模块化编程思想的体现,便于代码复用 便于团队协作开发,提高了开发效率 代码维护性好,对于代码的管理和使用非常方便,组件的加载和卸载只需要添加或删除一行代码即可完成 组件提供了html、css、js的封装方法,实现了与同一页面其他代码的隔离 组件非常灵活,定制非常容易,组件往往会留出接口,供使用者设置常用属性,比如title组件,使用者可以自定义标题、样式等 ...
【js进阶】-深浅拷贝
Ronychen的博客
05-13 1583
一、为什么会出现深浅拷贝 实质上是由于JS对基本类型和引用类型的处理不同。基本类型指的是简单的数据段,而引用类型指的是一个对象,而JS不允许我们直接操作内存中的地址,也就是不能操作对象的内存空间,所以,我们对对象的操作都只是在操作它的引用而已。 二、js中复制初体验 当我们复制一个基本类型的值时,会创建一个新值,并把它保存在新的变量的位置上。而如果我们复制一个引用类型时,同样会把变量中的值复制一份放到新的变量空间里,但此时复制的东西(也就是值)并不是对象本身,而是指向该对象的指针。所以我们复制引用类型后,.
【js进阶】-js执行机制
Ronychen的博客
12-31 1448
一、前序 关于js执行机制的内容,其实我早些时间也做过内容的分享,近期我是想着再对js的基础核心内容做一轮系统性的巩固和复习,所以本文相对于之前的文章会有部分细节点的更新,会让读者更加地系统理解这块的知识点,这里我也贴一下原先文章的地址(深入理解js执行机制) 我们知道页面的渲染,JS的执行,事件的循环,都是在浏览器内核中进行的,也就是浏览器渲染进程,所以今天要讨论的js的整个执行机制其实就是在浏览器内核中处理的,这些概念性的理解,如果有同学还不太清楚的,可以去看下我另外一篇文章(点我跳转) 二、 js执行
【js基础】-错误处理与调试
Ronychen的博客
12-16 1214
一、错误分类 执行代码期间可能会发生的错误有多种类型。每种错误都有对应的错误类型,而当错误发生时,就会抛出相应类型的错误对象。js共定义了下列 7 种错误类型: Error:基本的错误类型,其他类型都继承自这个类型 EvalError:使用 eval()函数而发生异常时被抛出 RangeError:范围错误 ReferenceError:引用错误 SyntaxError:语法错误 TypeError:类型错误 URIError:表示以一种错误的方式使用全局URI处理函数而产生的错误,例如:(decodeU
前端了解跨域吗?解决跨域的方法?
11-27
是的,前端开发人员需要了解跨域问题。跨域问题是由于浏览器的同源策略导致的,同源策略要求浏览器只能向同一域名下的服务器发起请求,而不能向其他域名下的服务器发起请求。解决跨域问题的方法有以下几种: 1.使用JSONP跨域:JSONP是一种跨域请求的方式,它利用了script标签不受同源策略限制的特性,通过动态创建script标签,向服务器请求数据,并在回调函数中处理返回的数据。 2.使用CORS跨域:CORS是一种跨域资源共享的机制,它通过在服务器端设置响应头,允许浏览器跨域访问资源。 3.使用代理跨域:代理跨域是指在同一域名下设置一个代理服务器,将浏览器的请求发送到代理服务器上,再由代理服务器向其他域名下的服务器发起请求,最后将响应结果返回给浏览器。 4.使用iframe跨域:通过在同一域名下创建一个隐藏的iframe,将需要跨域的内容放在iframe中,然后通过window.postMessage()方法实现跨域通信。 5.使用WebSocket跨域:WebSocket是一种基于TCP协议的全双工通信协议,它可以在浏览器和服务器之间建立持久性的连接,实现跨域通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ronychen’s blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值