关于跨域问题

最新推荐文章于 2023-07-22 00:45:00 发布
最新推荐文章于 2023-07-22 00:45:00 发布
阅读量561 收藏
点赞数
分类专栏: angular js 文章标签: 跨域 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a411358606/article/details/46991065
版权

自己折腾了一段时间的js,总是卡在跨域问题。

比如,自己用Java写了个后端。某一天,需要测试angular js的post请求是否正确,便想到了这个服务端,当请求的时候提示“跨域”。

今天,需要得到iframe页面对应的url,也是因为跨域,导致失败。

刚刚看到了一篇文章,说跨域问题是为了用户安全,讲的很有道理,看来以为遇到这类问题,只能想别的办法了。

原文链接:http://stackoverflow.com/questions/26055152/how-to-get-current-page-loaded-url-from-iframe

For a matter of security you are allowed to retrieve the URL as long as the contents of the iframe, and the referencing javascript, are hosted in the same domain.

Should it be the case, you can do something like:

document.getElementById("frameid").contentWindow.location.href

If the two domains are different then you'll have all the restrictions that apply to the cross-site reference scripting domain. Example:

document.getElementById("frameid").src ='/';
alert(document.getElementById("frameid").documentWindow.location.href);

Error: Permission denied to get property Location.href

For sure (except if you find some huge security flaw in your browser) you simply cannot achievewhat you need using javascript in the parent document. Let's see with a simple example why. If the browser allowed what you need, you could easily:

  1. Create a page, with a hidden iframe (e.g. http://malicous.com/dont-trust)
  2. In that iframe, open a child page with the login process of some website (e.g. http://insecure-web-site.com/redirectlogin)
  3. If cookies for child are present and under certain circumstances, the page inside the frame will redirect to the real website, proceeding with user login.
  4. From the parent page now you will be able to read all the sensitive informations gone through the login process contained inside the URL, e.g. access tokens, session IDs, ...
  5. At this point the victim website and its users are in front of a wide new set of possible security threats...
夏日踩冰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GeoServer跨域问题.zip
10-21
在Web应用开发中,跨域问题是一个常见的挑战,特别是在利用Ajax进行异步数据交互时。由于浏览器的安全策略,不同源(域名、协议或端口)之间的请求会被阻止,除非服务器允许这些跨域请求。在GeoServer的环境中,当...
iframe 通信和跨域通信
starwmx520的博客
06-06 7609
几年前页面里使用iframe嵌套使用的还是很多的。 以下是多种使用方法: 1、同域下嵌套: 父页面: window.onload=function(){ //父页面修改iframe var docu=document.querySelector('#iframe2'); docu.contentWindow.document.querySelector('#div
iframe框架页面跳转
myppbird的博客
11-22 1352
网上搜集,总结记录一下 window.top //最顶层窗口 window.self //当前窗口 window.parent //父级窗口 “window.location.href”、"location.href"是本页面跳转 "parent.location.href"是上一层页面跳转 "top.location.href"是最外层的页面跳转 举例说明: 如果A,B,C,D都是jsp,D是C...
浏览器同源政策及其规避方法
09-07 1179
转自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是”同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。  本文详细介绍”同源政策”的各个方面,以及如何规避它。 一、概述 1.1 含义  1995年,同源政策由 Netscape 公司
html点击标签改变iframe地址,Js如何监视Iframe内部地址改变
weixin_31205797的博客
06-21 968
最近在用jsunit来测试js代码。测试对象中有一个针对iframe的操作。就是通过iframe.contentwindow.location.href属性更新iframe的url。但是每次测试时候,iframe.contentwindow.location.href都是修改以前内容。开始以为是同源域的情况,无法访问。但是明明是可以访问的啊。后来又怀疑是cache缓存问题。强行刷新iframe也没...
关于js中window.location.href,location.href,parent.location.href,top.location.href的用法
热门推荐
Defonds 的专栏
05-08 6万+
  关于js中"window.location.href"、"location.href"、"parent.location.href"、"top.location.href"的用法   "window.location.href"、"location.href"是本页面跳转 "parent.location.href"是上一层页面跳转 "top.locat
iframe引用公共页面点击元素后location跳转
偏执
07-22 238
近日工作中项目,未引用框架等,创建公共模块引用后,点击其中元素后内容加载到iframe中,原页面未变化,做一下处理。上面 这样跳转是没什么问题了,后续引发的问题是页面后退会变为iframe地址,这样处理一下。现在三大框架盛行 基本用不着这些了 日常一些小项目可以用用。
springboot跨域问题解决方案
08-25
Spring Boot 跨域问题解决方案 Spring Boot 跨域问题是指在不同的源(origin)之间请求资源时出现的安全限制问题。这种限制是为了防止恶意脚本攻击,保护用户的隐私和安全。下面我们将详细介绍 Spring Boot 跨域...
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
Cesium加载Geoserver跨域问题
10-15
当我们在Cesium中尝试加载由Geoserver提供的地图服务时,可能会遇到跨域问题。这个问题主要是由于浏览器的安全策略限制了不同源之间的通信。以下是对这个问题的详细解释和解决方法。 首先,理解“跨域”是什么至关...
window.name解决跨域问题的文档
11-17
window.name解决跨域问题的文档,刚才网上发现的.也许有点作用
深入分析Javascript跨域问题
10-24
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。这里把涉及到跨域的一些问题简单地整理一下
iframe.contentWindow
山水子农
09-15 4868
1、iframe.contentWindow(主页面调用iframe)  此处的iframe是从document取得的,即作作为document的子对象出现,虽然是文档(document)对象,但由于它是独立的页面,因而拥有自己的事件,拥有自己的窗口对象(contentWindow);contentWindow属性是指指定的frame或者iframe所在的window对象。 在IE中iframe
window.parent与window.openner区别介绍
lazyyusky的专栏
04-17 1040
今天总结一下js中几个对象的区别和用法: 首先来说说 parent.window与top.window的用法 "window.location.href"、"location.href"是本页面跳转 "parent.location.href"是上一层页面跳转 "top.location.href"是最外层的页面跳转 举例说明: 如果A,B,C,D都是jsp,D是C的iframe,C是
JS刷新Iframe跨域
monkey's的博客
05-30 1396
需求 项目中会有刷新iframe的需求, 方法 一般情况下,我们直接用iframe的==location.reload(true)==方法就可以了,它的缺点是,如果是刷新外部的URL(不同源的),那么这种方法会报跨域的错误。 Blocked a frame with origin xxxx from accessing a cross-origin frame. 这个时候我们需要用另外一种方法window.open()看例子: <iframe :src="qrcodePath" name="r
前端技术之Iframe
蜗牛的博客
09-28 1459
现在有个项目是webapp,通过iframe加载第三方资源,除了主入口index.jsp(java编译之后)和3个活动的html页面,剩下都是通过主页面里的iframe进行src的跳转。 1.ifarme加载页面后的高度问题: 主入口iframe加载本地页面比如main.html的是可以撑开的,如果加载第三方是不能撑开的,除非给主页面里的iframe加上固定高度,或者通过js计算移动设备的高度...
Js如何监视Iframe内部地址改变
weixin_34290096的博客
10-07 3807
2019独角兽企业重金招聘Python工程师标准>>> ...
iframe框架中的页面刷新
masterShaw的博客
09-26 3万+
1,reload 方法,该方法强迫浏览器刷新当前页面。   语法:location.reload([bForceGet])   参数: bForceGet, 可选参数, 默认为 false,从客户端缓存里取当前页。true, 则以 GET 方式,从服务端取最新的页面, 相当于客户端点击 F5("刷新")  代码如下   window.locat
Iframe内部调用外部的location.href跳转出现奇怪问题
快乐小斗车
10-18 7784
跳转问题的根源 任务中遇到这样一个问题,用window.location.href跳转一到个网址,但是每次都出错,显示网址前面加上了文件所在文件夹的路径 示例如下: window.location.href=”main.test.renren.com”;跳转到‘文件的绝对路径+main.test.renren.com’不能正常打开改地址 window.location.href=”http:/
spring boot 关于跨域问题
最新发布
06-13
Spring Boot在处理跨域请求时,通常是为了支持前端与后端分离的应用架构中,当客户端(如浏览器)发起 AJAX 请求到不同的域名或端口时,服务器默认会因为同源策略(Same-Origin Policy)而拒绝这些请求。为了解决这个问题,Spring Boot提供了几种方法来处理跨域。 1. **全局启用CORS**: 你可以通过`@EnableWebMvc`注解加上`spring.mvc.cross-origin.enabled=true`配置,然后在`application.properties`或`application.yml`文件中添加CORS相关配置,比如允许特定来源、方法和头信息: ```yaml spring: mvc: cors: enabled: true origins: '*' 或 'http://localhost:8080' // 允许特定或所有来源 allowedMethods: '*' // 允许的所有HTTP方法 allowedHeaders: '*' // 允许的所有请求头 ``` 2. **全局注册CORS Filter**: 使用`@CrossOrigin`注解可以全局注册一个CORS Filter,例如: ```java @Configuration @WebFilter(urlPatterns = "/*") public class CorsConfig implements WebFilterConfigurer { @Override public void configureWebFilter(WebFilterRegistry registry) throws Exception { registry.addFilter(CorsFilter.class).addMappingForAllUrls().applyPermitDefaultValues(); } } ``` 3. **控制器级别处理**: 如果只需要某个或部分Controller响应跨域,可以在方法上使用`@CrossOrigin`: ```java @RestController @CrossOrigin(origins = "*", methods = RequestMethod.GET) public class MyController { @GetMapping("/api") public String crossDomainApi() { // ... } } ``` 4. **自定义CORS策略**: 如果需要更灵活的控制,可以创建`CorsConfiguration`实例并动态配置: ```java @Bean public CorsConfigurationSource corsConfigurationSource() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); // ... 设置配置项 source.registerCorsConfiguration("/**", config); return source; } @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*"); } }; } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值