同源策略及跨域处理

最新推荐文章于 2024-01-03 15:08:06 发布
最新推荐文章于 2024-01-03 15:08:06 发布
阅读量416 收藏
点赞数
分类专栏: Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uzizi/article/details/81989984
版权

一、定义

同源:端口协议域名一致,当客户端打开百度,谷歌两个页面,百度的页面执行一个脚本的时候,会检查该脚本是否属于哪个页面,只有跟百度同源的脚本才会执行,否则会给控制台抛出异常

二、作用

为了安全,防止跨站请求攻击等

三、避免同源策略

1、DOM同源策略的规避

a、hash

因为hash的改变并不会引起页面的刷新同时可以通过 window.onhashchange事件监听到hash的改变,所以可以通过hash来跨域传递数据。

b、document.domain

若两个文档的域相同则可以获取对方的DOM对象,并且可以通过设置 document.domain 的值来让两个文档的域保持一致,但是 document.domain 并不是可以设置任何值,只能设置为当前域的超域

c、window.name

window.name有一个特性,即使当前窗口的地址改变了window.name的值也不会改变。可以利用这一特性来进行跨域,步骤如下:

通过iframe加载需要获取数据的地址
在加载的文件上将数据设置到window.name上
数据获取完成后将iframe的地址设置为当前文档同域
通过DOM操作拿到window.name上的数据

d、window.postMessage

以上几种跨域的方法都属于破解行为,而postMessage是H5为跨域提供的解决方法。

3、Ajax同源策略的规避

a、jsonp

虽然跨域限制了Ajax请求,但是却并不影响跨域引用脚本。jsonp只支持GET请求。

<script src="http://example.com/index.php?arg=val1&jsonp=callback"/>
<script>
    callback(data){
        console.log(data); // 上面的加载完成之后就会打印出后台传过来的数据 "数据"
    }    
</script>
<?php
    echo $_GET['jsonp'] . '(' . '数据' . ')';
?>

上面的 index.php 接口返回的是一段调用 函数的js代码 callback(data),其中data就是接口要返回的数据。而这个callback是事先在页面上写好的处理数据的回调函数,并且回调函数的名称通过URL参数的形式传递给了后端接口,这样就完成了一次跨域。

b、CROS

django框架,使用django-cors-headers扩展,添加应用,

INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)

中间层设置

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    ...
]

添加白名单

# CORS
CORS_ORIGIN_WHITELIST = (
    '127.0.0.1:8080',
    'localhost:8080',
    'www.meiduo.site:8080',
    'api.meiduo.site:8000'
)
CORS_ALLOW_CREDENTIALS = True  # 允许携带cookie

凡是出现在白名单中的域名,都可以访问后端接口
CORS_ALLOW_CREDENTIALS 指明在跨域访问中,后端是否支持对cookie的操作。

Ajax同源策略以及实现跨域
鸭绒的博客
04-19 1128
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误 : XMLHttpRequest cannot load http://server.runoob.com/server.php. No 'Access-Control-A...
同源策略跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源策略及解决跨域问题
qq_36787461的博客
02-23 217
同源策略 浏览器出于安全考虑设置了同源策略。也就是说如果协议,域名和端口有一个不同的话就属于跨域。 最初设计是为了保护用户信息的安全,防止恶意的网站窃取数据,如CRSF跨站点请求伪造。A网站在客户端设置的cookie,B网站是拿不到的。 非同源请求其实是发出去了的,只不过浏览器拒绝接受服务器返回的结果。 解决跨域 JSONP: 利用 script 标签没有跨域限制的漏洞。通过script ...
什么是同源策略
hck341204的专栏
12-12 380
一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:   假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一 个tab窗口中打开了银行网站,在另...
ajax同源处理
sxh1799
04-07 124
ajax同源处理 1.什么是同源 不同网址之间的协议,域名,端口三者相同即为同源 2.同源政策的目的 3.绕过同源政策的方法——JSONP(json with padding) JSON优 ...
php什么是同源策略,js同源策略是什么
weixin_34626306的博客
03-23 124
对于任何基于WEB的应用,最重要的就是安全性.JS中有各种安全检查以防止恶意脚本攻击你的机器,其中一些特定的安全手段在各种浏览器中都有采用.如:Mozilla有个完全独特的完全模型,涉及到了签署脚本和加强特权.我们要知道哪些安全手段是所有浏览器通用的,哪些是特定浏览器的.这样就能创建更安全的JS脚本.同源策略;JS只能与同一个域中的页面进行通讯.如:运行在 http://domain:port/a...
同源策略跨域解决方案.docx
10-26
同源策略跨域解决方案 同源策略是浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这...
同源策略与cors跨域及jsonp劫持
j1044957016的博客
05-31 901
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
深入解析JavaScript同源策略跨域访问实例及安全策略
JavaScript同源策略跨域访问是Web开发中至关重要的安全概念,它们确保了浏览器在处理来自不同源的请求时保护用户的隐私和数据安全。同源策略是浏览器内置的一种防御机制,它根据URL的构成(协议、域名和端口)来...
ajax-同源策略
最新发布
shape_one的博客
01-03 744
同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能MDN官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制通俗的理解:浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互,例如:① 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB② 无法接触非同源网页的 DOM③ 无法向非同源地址发送 Ajax 请求同源
AJAX同源策略
m0_51144154的博客
11-23 328
AJAX同源策略 1). server.js //引入express框架 const express = require('express'); //创建express对象 const app = express(); //创建路由规则 app.get('/home', (request, response) => { //响应一个页面,这样会获取index.html中的数据 response.sendFile(__dirname + '/index.html'); })
ajax同源策略
m0_37666988的博客
04-15 336
1.同源策略: 源(origin)就是协议、域名和端口号。 .2什么是同源策略同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。 3.什么浏览器要限制跨域? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如...
AJAX的同源策略
weixin_50119334的博客
10-27 240
同源策略 同源策略是浏览器的一种安全策略。 同源:协议、域名、端口号,必须完全相同 违背同源策略就是跨域 如何解决跨域 JSONP方法 JSONP ,是一个非官方的跨域解决方案,只支持 get 请求。 JSONP就是利用script标签的跨域能力来发送请求的 ...
AJAX ------ 同源策略
HuoZhiyan 的博客
02-24 904
同源策略:协议、域名、端口号必须完全相同。违背同源策略就是跨域。 注意:端口号为 9000 创建 index.html 文件 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" con.
Ajax——同源策略
weixin_53052268的博客
08-16 251
a:同源策略(Same-Origin Policy)最早由 Netscape 公司提出,是浏览器的一种安全策略。5.在以上的代码中遵循的是同源策略,在127.0.0.1页面请求127.0.0.1的文件index.html。b:同源:协议、域名、端口号 必须完全相同。dirname命令用于显示文件或目录路径。e:a.com-->b.com就是跨域。2.代码展示(index.html)d:Ajax默认遵循同源策略。_dirname表示绝对路径。c:违背同源策略就是跨域。...
同源策略
weixin_36241537的博客
04-06 238
同源策略 一般浏览器端的同源指的是:协议 域名 端口号 都完全相同 同源策略区分为 DOM同源策略 考虑一个场景,在页面A中iframe嵌入了页面B,然后将A的网址发给某个用户。用户进入后误以为是网站B,并填写了用户名和密码。若页面A就可以访问到B的dom元素,则可进一步得知用户输入的值,这样密码就被泄露了。 由于同源策略的存在,禁止不同域页面相互访问DOM,因此A获取不到B的DOM元素。 XHR...
AJAX-同源策略及其相关的知识
code^_^熊的博客
01-16 146
1.同源策略相关介绍   同源策略是 Netscape公司提出的,是游览器的一种安全策略。 2.“同源”的含义   协议、域名、端口三者必须都完全相同 3.跨域的含义   违背同源策略就是跨域
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值