JavaScript跨域方法总结

最新推荐文章于 2022-05-29 17:49:53 发布
最新推荐文章于 2022-05-29 17:49:53 发布
阅读量927 收藏 1
点赞数 1
文章标签: 跨域 web前端 JSONP CORS Web-Socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vivian_jay/article/details/59111482
版权

同源安全策略

默认情况下,XHR 对象只能访问与包含它的页面位于同一个域中的资源。这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求对开发某些浏览器应用程序也是至关重要的。

一、CORS

Cross-Origin Resource Sharing,跨域资源共享

1、原理

CORS是 W3C 的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器应该如何沟通。CORS 背后的基本思想,就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。
比如一个简单的使用 GET 或 POST 发送的请求,它没有自定义的头部,而主体内容是 text/plain。在发送该请求时,需要给它附加一个额外的Origin 头部,其中包含请求页面的源信息(协议、域名和端口) ,以便服务器根据这个头部信息来决定是否给予响应。下面是 Origin 头部的一个示例:
Origin: http://www.nczonline.net
如果服务器认为这个请求可以接受,就在 Access-Control-Allow-Origin 头部中回发相同的源信息(如果是公共资源,可以回发 “*” )。例如:
Access-Control-Allow-Origin:http://www.nczonline.net
如果没有这个头部,或者有这个头部但源信息不匹配,浏览器就会驳回请求。正常情况下,浏览器会处理请求。注意,请求和响应都不包含 cookie 信息。

2、IE对CORS的实现

微软在 IE8 中引入了 XDR( XDomainRequest )类型。这个对象与 XHR 类似,但能实现安全可靠的跨域通信。XDR 对象的安全机制部分实现了 W3C 的 CORS 规范。以下是 XDR 与 XHR 的一些不同之处。
 cookie 不会随请求发送,也不会随响应返回。
 只能设置请求头部信息中的 Content-Type 字段。
 不能访问响应头部信息。
 只支持 GET 和 POST 请求。
这些变化使 CSRF(Cross-Site Request Forgery,跨站点请求伪造)和 XSS(Cross-Site Scripting,跨站点脚本)的问题得到了缓解。被请求的资源可以根据它认为合适的任意数据(用户代理、来源页面等)来决定是否设置 Access-Control- Allow-Origin 头部。作为请求的一部分, Origin 头部的值表示请求的来源域,以便远程资源明确地识别 XDR 请求。
XDR对象的使用方法与 XHR对象非常相似。 也是创建一个 XDomainRequest 的实例, 调用 open()方法,再调用 send() 方法。但与 XHR 对象的 open() 方法不同,XDR 对象的 open() 方法只接收两个参数:请求的类型和 URL。
所有 XDR 请求都是异步执行的,不能用它来创建同步请求。

3、其他浏览器对CORS的实现

通过 XMLHttpRequest对象实现了对 CORS 的原生支持。在尝试打开不同来源的资源时,无需额外编写代码就可以触发这个行为。 要请求位于另一个域中的资源, 使用标准的 XHR对象并在 open() 方法中传入绝对 URL即可。

xhr.open("get", "http://www.somewhere-else.com/page/", true);

与 IE 中的 XDR 对象不同,通过跨域 XHR 对象可以访问 status 和 statusText 属性,而且还支持同步请求。跨域 XHR 对象也有一些限制,但为了安全这些限制是必需的。以下就是这些限制。
 不能使用 setRequestHeader() 设置自定义头部。
 不能发送和接收 cookie。
 调用 getAllResponseHeaders() 方法总会返回空字符串。
由于无论同源请求还是跨源请求都使用相同的接口,因此对于本地资源,最好使用相对 URL,在访问远程资源时再使用绝对 URL。这样做能消除歧义,避免出现限制访问头部或本地 cookie 信息等问题。

4、Preflighted Reqeusts

CORS 通过一种叫做 Preflighted Requests 的透明服务器验证机制支持开发人员使用自定义的头部、GET 或 POST之外的方法,以及不同类型的主体内容。在使用下列高级选项来发送请求时,就会向服务器发送一个 Preflight 请求。这种请求使用 OPTIONS 方法,发送下列头部。
 Origin :与简单的请求相同。
 Access-Control-Request-Method :请求自身使用的方法。
 Access-Control-Request-Headers :(可选)自定义的头部信息,多个头部以逗号分隔。
以下是一个带有自定义头部 NCZ 的使用 POST 方法发送的请求。

Origin: http://www.nczonline.net
Access-Control-Request-Method: POST
Access-Control-Request-Headers: NCZ

发送这个请求后,服务器可以决定是否允许这种类型的请求。服务器通过在响应中发送如下头部与浏览器进行沟通。
 Access-Control-Allow-Origin :与简单的请求相同。
 Access-Control-Allow-Methods :允许的方法,多个方法以逗号分隔。
 Access-Control-Allow-Headers :允许的头部,多个头部以逗号分隔。
 Access-Control-Max-Age :应该将这个 Preflight 请求缓存多长时间(以秒表示)。
例如:

Access-Control-Allow-Origin: http://www.nczonline.net
Access-Control-Allow-Methods: POST, GET
Access-Control-Allow-Headers: NCZ
Access-Control-Max-Age: 1728000

Preflight 请求结束后,结果将按照响应中指定的时间缓存起来。而为此付出的代价只是第一次发送这种请求时会多一次 HTTP 请求。

5、带凭据的请求

默认情况下,跨源请求不提供凭据(cookie、HTTP 认证及客户端 SSL 证明等) 。通过将withCredentials 属性设置为 true ,可以指定某个请求应该发送凭据。如果服务器接受带凭据的请求,会用下面的 HTTP 头部来响应。

Access-Control-Allow-Credentials: true</
最低0.47元/天 解锁文章
Vivian_jay
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
面试知识点总结 - js 跨域消息传输
weixin_42291794的博客
09-08 229
跨域 URL:https://editor.csdn.net:8000/md/?not_checkout=1 协议不同 域名不同 端口不同 目录不同 参数不同 以上任意一个不同都是跨域 跨文档消息传输(XDM即cross-document messaging) postMessage(消息,指定消息接收方的域名):发送消息 第一个参数消息为字符串,不是字符串时可以调用JSON.stringify()和JSON.parse() window的message事件,会在接收到消息时触发 m
Javascript跨域总结
zzmxz的博客
03-16 551
什么是跨域?我们经常会在页面上使用ajax请求访问其他服务器的数据,此时,客户端会出现跨域问题,跨域问题是由于javascript语言安全限制中的同源策略造成的。简单来说,同源策略是指一段脚本只能读取来自同一来源的窗口和文档的属性,这里的同一来源指的是主机名、协议和端口号的组合。例如: 解决跨域的几种方式:方法JSONPJSONP(JSON with Padding)是JSON的一种“使用模式”,
vue使用EventSource
wusq的博客
11-18 8059
前后端分离项目,vue通过EventSource监听后台数据,并添加声音提示 完整代码(写在mounted): const that = this if (typeof (EventSource) !== 'undefined') { var music = new Audio() music.src = require('@/assets/wav/notice-short....
js跨域
越努力,越幸运!
02-23 2269
对于JS跨域的一些理解和总结
websoket和eventSource
liusixsixsix的博客
07-18 670
http://www.ruanyifeng.com/blog/2017/05/server-sent_events.html 阮一峰 Server-Sent Events 教程 1、了解服务器向客户端推送数据的方式 服务端推,指的是由服务器主动的向客户端发送消息(响应)。 当前解决服务端推送的方案有这几个: a、客户端长轮询 b、websocket双向连接 c、iframe永久帧 他们之间的差异和...
vue其他之“vue关闭语法检查”
空投在我怀里的博客
05-29 247
module.exports = { pages: { index: { //入口 entry: 'src/main.js', }, }, lintOnSave:false, //关闭语法检查 //开启代理服务器(方式一) // devServer: { // proxy: 'http://localhost:5000' // }, //开启代理服务器(方式二) devServer: { proxy: { '/at.
javascript跨域的几种方法
lh9456的博客
04-25 338
前端开发之跨域方法总结 欲说跨域,首先我们要搞懂同源策略: 同源策略:是一种安全策略,为了防止两个不同源的网站之间直接访问数据。 第一,如果是协议和端口造成的跨域问题“前台”是无能为力的, 第二:在跨域问题上,域仅仅是通过“URL的首部”来识别而不会去尝试判断相同的ip地址对应着两个域或两个域是否在同一个ip上。 “URL的首部”指window.location.protocol + ...
javascript跨域方案总结
04-18
JavaScript跨域方案是Web开发中的一个重要主题,尤其是在构建现代Web应用程序时。由于浏览器的安全策略,JavaScript在不同域名之间默认不允许进行通信,这就是所谓的“同源策略”。然而,开发者经常需要在多个域之间...
JavaScript跨域总结
08-06
JavaScript跨域总结Web开发中,由于浏览器的同源策略限制,JavaScript代码通常只能访问与自身页面协议、域名和端口完全相同的资源。这种安全机制是为了防止恶意脚本通过跨站点请求获取用户敏感信息。然而,随着...
javascript跨域方法汇总
01-19
此文章学习借鉴了一些其他前端同学的文章,自己做了个实践总结 以下的例子包含的文件均为为 http://www.a.com/a.html 、http://www.a.com/c.html 与 http://www.b.com/b.html,要做的都是从a.html获取b.html里的数据...
详解JavaScript跨域总结与解决办法
10-21
JavaScript跨域Web开发中一个重要的概念,主要是由于浏览器的安全策略——同源策略(Same-origin policy)所引发的问题。同源策略规定,JavaScript只能访问与自身URL协议、域名和端口完全一致的网页资源。这一策略...
同源策略与跨域方式
Welkin_qing的博客
03-27 723
文章目录同源策略跨源资源共享(CORSCORS 的简单请求原理浏览器对CORS 的实现通过透明服务器机制使用自定义头部(Preflighting Requests)对请求设置凭据 同源策略 在了解跨域这个概念之前首先要知道的是何为同源策略。所谓的同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。而满足同...
前端js跨域请求访问解决方案
GoldenLegs的博客
07-03 1703
 什么是不同域?协议、域名、端口有任何一个不同,都被当作是不同的域 什么是跨域Web 浏览器具有一个称为相同站点源策略的安全策略,此策略可阻止网页访问另一个域中的数据。 网站通常会让其服务器在后端请求其他站点服务器中的内容,由此避开浏览器中的检查,从而绕开此策略。注意好多文章写的是“JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。” 这根本就是错误的,大家依然在抄来抄去,即...
js如何将跨域打开的窗口放到最前面_JavaScript第二十二章 跨域资源共享
weixin_36140400的博客
12-01 184
什么叫跨域跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。广义的跨域:资源跳转: A链接、重定向、表单提交资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@font-face()等文件外链脚本请求: js发起的ajax请求、dom和js对象的跨...
服务端事件EventSource揭秘
weixin_30564901的博客
10-31 1235
服务端推 服务端推,指的是由服务器主动的向客户端发送消息(响应)。在应用层的HTTP协议实现中,“请求-响应”是一个round trip,它的起点来自客户端,因此在应用层之上无法实现简易的服务端推功能。当前解决服务端推送的方案有这几个: 客户端长轮询 websocket双向连接 iframe永久帧 长轮训虽然可以避免短轮训造成的服务端过载,但在服务端返回数据后仍需要客户端主动发起下一个长轮训请...
解决javascript跨域问题
iteye_20491的博客
07-04 174
    浏览器出于安全方面的考虑,禁止了javascript跨域访问,但是在我们实际的开发中确经常需要跨域,这就给我们开发中带来了很大的困难。不多说了,直接上代码说明跨域的解决方案吧~   function KQAjaxRequest() { this.LocationUrl="http://www.192.168.1.28:8080"; this.userAgent = {};...
JavaScript第二十二章 跨域资源共享
热门推荐
仇益阳的博客
11-13 2万+
什么叫跨域跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。 广义的跨域: 资源跳转: A链接、重定向、表单提交 资源嵌入: 、什么是同源策略? 同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协...
浅谈跨域(四)——SSE试用
zhoujie_zhoujie的博客
02-11 2442
Comet虽然实现比较简单,但是实际使用过程中并不是那么简单,还需要考虑很多实际的问题,例如连接断开如何重连。而且Comet并不是HTML5规范的一部分,并且在服务器端和浏览器端都需要第三方库的支持。 幸运的是HTML5规范中新增了SSE(Server-Sent Event),直接使用SSE API就能实现和Comet一样的功能。Server-Sent EventSSE 用于创建到服务器的单向连接
学习笔记——javascript中的跨域问题
qq_41339126的博客
11-03 497
在js中,如何解决跨域问题是一个非常重要的内容。跨域问题cors:cross origin resource share。 同源策略:只有当协议、端口、域名都相同的页面,则两个页面具有相同的源。只要网站的协议protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用,会受到同源策略的限制。 注意:不管哪种跨域都需要服务器端的配合,服务器端才是跨域的主导。 1.天生跨域的标签: 在js中,有一些可以天生跨域的标签,例如图...
javascript跨域方法汇总.docx
01-19
JavaScript跨域是指在网页中进行跨域请求数据或资源时所遇到的限制和解决方法。由于浏览器的同源策略限制,JavaScript在访问其它域名下的数据时会面临一系列的限制。本文总结了一些常见的跨域请求解决方法,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值