跨域请求解决方案

最新推荐文章于 2022-12-06 21:33:51 发布
最新推荐文章于 2022-12-06 21:33:51 发布
阅读量200 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Teheran/article/details/86563496
版权

浏览器安全的基石是“同源政策”

1.同源政策含义

A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。
不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。
所谓“同源”指的是”三个相同
协议相同
域名相同
端口相同
举例来说,http://www.example.com:80/dir/page.html这个网址,
协议是http://,
域名是www.example.com
端口是80(默认端口可以省略)。

2.跨域

跨域解决方案
1、 通过jsonp跨域 !
2、 document.domain + iframe跨域 !
3、 location.hash + iframe !
4、 window.name + iframe跨域 ?
5、 postMessage跨域 ?
6、 跨域资源共享(CORS) ?
7、 nginx代理跨域 ?
8、 nodejs中间件代理跨域 ?
9、 WebSocket协议跨域 ?

2.1 JSONP跨域

一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。
它的基本思想是,网页通过添加一个script元素,向服务器请求 JSON 数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
步骤:
脚本动态插入


function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}

window.onload = function () {
  addScriptTag('http://example.com/ip?callback=foo');
}

function foo(data) {
  console.log('Your public IP address is: ' + data.ip);
};

上面代码通过动态添加script元素,向服务器example.com发出请求。注意,该请求的查询字符串有一个callback参数,用来指定回调函数的名字,这对于 JSONP 是必需的。
服务器收到这个请求以后,会将数据放在回调函数的参数位置返回。


foo({
  "ip": "8.8.8.8"
});

由于script元素请求的脚本,直接作为代码运行。这时,只要浏览器定义了foo函数,该函数就会立即调用。作为参数的 JSON 数据被视为 JavaScript 对象,而不是字符串,因此避免了使用JSON.parse的步骤。
凡是拥有”src”这个属性的标签都拥有跨域的能力,比如<\script>、<\img>、<\iframe>

推荐一篇文章

https://blog.csdn.net/hansexploration/article/details/80314948

2.2document.domain跨域

此方法有个前提:只有主域名相同的情况下方可使用此方法

介绍document.domain跨域之前我们先补充几个知识点

URL的组成

http://mail.163.com/index.html
http://:这个是协议,也就是HTTP超文本传输协议,也就是网页在网上传输的协议。
mail:这个是服务器名,代表着是一个邮箱服务器,所以是mail.
163.com:这个是域名,是用来定位网站的独一无二的名字。
mail.163.com:这个是网站名,由服务器名+域名组成。
/:这个是根目录,也就是说,通过网站名找到服务器,然后在服务器存放网页的根目录
index.html:这个是根目录下的默认网页(当然,163的默认网页是不是这个我不知道,只是大部分的默认网页,都是index.html)

http://mail.163.com/index.html:这个叫做URL,统一资源定位符,全球性地址,用于定位网上的资源。
163.com他的域名是163.com,他想建立一个www服务器,所以有了www.163.com.
他又想玩邮箱服务器,所以,mail.163.com也有了。
一级域名(根域名),如:sojson.combaidu.comsina.comsina.com.cnsina.cn.net 等等。
二级域名 是指增加了一级,包括www。如:www.sojson.comicp.sojson.comzhidao.baidu.comwww.baidu.com 等等。有人把www.sojson.com叫一级域名这是错误的。

什么是主域名相同

huhu.com
a.huhu.com
b.a.huhu.com
这是三个不同的域名,但是主域名是相同的 都是 huhu.com, 不是这种形式的那么都不能用document.domain方法跨域。

console.lg(document.domain)

用来得到当前网页的域名。
在这里插入图片描述

利用document.domain 实现跨域:

前提条件:这两个域名必须属于同一个基础域名!而且所用的协议,端口都要一致,否则无法利用document.domain进行跨域.
Javascript出于对安全性的考虑,而禁止两个或者多个不同域的页面进行互相操作。
相同域的页面在相互操作的时候不会有任何问题。

实现原理:通过js强制设置两个页面的基础主域为document.domain,就实现了同域。
1.)父窗口:(http://www.domain.com/a.html)


<iframe id="iframe" src="http://child.domain.com/b.html"></iframe>
<script>
    document.domain = 'domain.com';
    var user = 'admin';
</script>

2.)子窗口:(http://child.domain.com/b.html)


<script>
    document.domain = 'domain.com';
    // 获取父窗口中变量
    alert('get js data from parent ---> ' + window.parent.user);
</script>

window.parent 属性返回当前窗口的父窗口。

https://www.cnblogs.com/zichi/p/4620656.html

2.3 location.hash + iframe跨域

location对象的hash属性

location对象是javascript管理地址栏的内置对象。
location.href 就管理页面的url,用 location.href=url 就可以直接将页面重定向 url。location.hash 则可以用来获取或设置页面的标签值。比如 http://domain/#admin 的location.hash="#admin"
#代表网页中的一个位置。其右面的字符,就是该位置的标识符。比如,
  http://www.example.com/index.html#print
就代表网页index.html的print位置。浏览器读取这个URL后,会自动将print位置滚动至可视区域。
为网页位置指定标识符,有两个方法。
一是使用锚点,比如<a name="print"></a>
二是使用id属性,比如<div id="print" >

在第一个#后面出现的任何字符,都会被浏览器解读为位置标识符。这意味着,这些字符都不会被发送到服务器端
比如,下面URL的原意是指定一个颜色值:
  http://www.example.com/?color=#fff
但是,浏览器实际发出的请求是:
  GET /?color= HTTP/1.1
  Host: www.example.com

实现原理a欲与b跨域相互通信,通过中间页c来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。

(我看明白了 日后再回来总结…)

https://www.cnblogs.com/zichi/p/4621963.html
http://rolfzhang.com/articles/380.html
http://www.cnblogs.com/skylar/p/4101443.html#comments

2.2WebSocket协议跨域

WebSocket protocol是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很好的实现。

2.3cors

浏览器发出的请求的头信息有一个字段是Origin,表示该请求的请求源(origin),即发自哪个域名。服务器可以根据这个字段,判断是否许可本次通信。如果该域名在白名单内,服务器就会做出如下回应。

2.4postMessage

HTML5提供的新API – postMessage
postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递
用法:postMessage(data,origin)方法接受两个参数
1.data:要传递的数据,html5规范中提到该参数可以是JavaScript的任意基本类型或可复制的对象,然而并不是所有浏览器都做到了这点儿,部分浏览器只能处理字符串参数,所以我们在传递参数的时候需要使用JSON.stringify()方法对对象参数序列化,在低版本IE中引用json2.js可以实现类似效果。
2.origin:字符串参数,指明目标窗口的源,协议+主机+端口号[+URL],URL会被忽略,所以可以不写,这个参数是为了安全考虑,postMessage()方法只会将message传递给指定窗口,当然如果愿意也可以建参数设置为"*",这样可以传递给任意窗口,如果要指定和当前窗口同源的话设置为"/"。

https://segmentfault.com/a/1190000011145364

觉儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue 跨域请求解决方案
好好学习,天天向上!
12-30 2481
什么是跨域 现代浏览器出于安全考虑,都会去遵守一个叫做“同源策略”的约定,同源的意思是两个地址的协议、域名、端口号都相同的情况下,才叫同源。这个时候两个地址才可以相互访问 cookie、localStorage、sessionStorage、发送 ajax 请求,如果三者有一个不同,就是不同源,这时再去访问这些资源就叫做跨域。 在vue中如何跨域请求,教程如下 vue.config.js 项目根目录创建vue.config.js文件 在vue.config.js文件内配置以下内容 module.e
前端解决请求跨域问题
weixin_52375544的博客
04-28 813
一、跨域的原因 是由浏览器同源策略限制的一类请求场景 同源策略:为防止浏览器受到XSS、CSFR等攻击;同源是指"协议+域名+端口"三者相同; 二、 常见跨域场景 同域名,不同端口; 同域名,不同协议; 域名和域名对应相同ip; 主域相同,子域不同; 不同域名 三、 解决方案 通过jsonp跨域 原生实现: <script> var script = document.createElement('script'); script.type = 'text/javascrip
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
什么是同源策略
weixin_70437515的博客
06-28 9394
概述:先来看看 域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。同源策略限制内容有:但是有三个标签是允许跨域加载资源:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
同源策略及解决办法
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
同源策略 详解
NB_666的博客
12-28 691
深入了解同源策略及有那些应用场景 http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
同源策略及规避方法
Nundy
04-20 2169
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
Ajax跨域请求解决方案-JSONP
12-03
然而,Ajax技术在实现动态网页交互时常常需要跨越这个限制,这时就引入了JSONP(JSON with Padding)作为跨域请求的一种解决方案。本文将详细介绍JSONP的工作原理以及如何在ASP.NET网站开发中应用JSONP解决Ajax跨域...
JS跨域请求解决方案.docx
10-26
JS跨域请求解决方案.docx
PHP Ajax跨域问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
前端必备HTTP技能之同源策略详解
Catie
09-09 919
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
同源策略
iteye_5722的博客
03-16 289
一 介绍 同源策略是JavaScript主要的安全策略,表示一个脚本只能读取与它同源的窗口或文档的属性,这样可以防止从一个站点载入的脚本获取或设置另一站点的文档属性。 例如,使用一段恶意的脚本代码在一个浏览器中运行,如果没有同源策略,此段恶意代码就有可能获取另一个浏览器窗口中的信息,而该窗口中有可能包含部分私有信息。 同源策略用来检测两个URL是否属于同一个源。 当一个脚本试图访问另一个...
java 后端访问跨域接口_【Java】各位帮忙看一下这个跨域的问题如何解决,这是前端调用后端登陆接口时的错...
weixin_39907316的博客
02-24 498
同源策略禁止读取位于 https:///login 的远程资源。(原因:CORS 头 ‘Access-Control-Allow-Headers’ 中的令牌 ‘multipart/form-data’ 无效)这是火狐浏览器报的错。has been blocked by CORS policy: Cannot parse Access-Control-Allow-Headers response h...
同源策略及其绕过详解
最新发布
yufumusui的博客
12-06 5208
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
15 张精美动图全面讲解 CORS
卤蛋实验室
08-03 303
前言: 本文翻译自 Lydia Hallie 小姐姐写的 ✋???????? CS Visualized: CORS,她用了大量的动图去解释 CORS 这个概念,国内还没有人翻译本文,所以我在原文的理解上翻译了本文并修改了一些错误,希望能帮到大家。 觉得翻译的不错一定要点赞哦,谢谢你,这对我真的很重要! ???? 注:原文的动图均为 keynote 制作 前端开发中,我们经常要使用其他站点的数据。前端显示这些数据之前,必须向服务器发出请求以获取该数据。 假设我们正在访问 https://api.my
关于同源策略的理解
阴晦的博客
03-28 2064
0x00000001.首先让我们明确一下相关概念: 源:源即是协议、域名和端口号。 如:https://blog.csdn.net/zzy2210:8080 就是一个源 同源:即源相同,源也就是说只要协议、域名、端口号相同便属于同源。 如:对于https://blog.csdn.net/zzy2210 http://blog.csdn.net/zzy2210 ...
同源策略与JS跨域请求(图文实例详解)
shuai_wy的专栏
04-19 1万+
同源策略与JS跨域跨域详解 Jquery Ajax 调用 Web API方法,Jquery ajax 请求.Net C# MVC. 本文介绍了同源策略,以及JS跨域问题出现的原因及原理。 本文以AJAX ,ASP.NET MVC 为例,详细的介绍了跨域请求的三种解决方案,分别为 JSONP ,CORS,代理层解决方案
Ajax跨域解决方案:JSONP、CORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONP、CORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值