浏览器跨域问题和如何跨域访问

最新推荐文章于 2024-05-25 11:00:00 发布
最新推荐文章于 2024-05-25 11:00:00 发布
阅读量2.6k 收藏 37
点赞数 10
分类专栏: java小知识 文章标签: 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/balsamspear/article/details/89065022
版权

什么是浏览器跨域问题

  1. 跨域只存在于浏览器中,当A网站访问的资源不是同源的,就会产生跨域问题
  2. 同源策略是浏览器的一种安全机制,要求协议、域名、端口一致
  3. 这是前后端分离后的一个热门话题,在单体应用年代,程序员很少接触这个问题,但浏览器一直有这个安全机制
  4. localhost和127.0.0.1都指向本机,但也不同源,也就是说,要dns的域名一样,ip一样也不行(why?)
  5. js引用脚本是可以跨域访问的,如<script />、<img />

为什么要限制跨域访问

浏览器同源策略包括AJAX同源策略、DOM同源策略

  • AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,相当危险,我们发起的每一次HTTP请求都会带上请求地址对应的cookie,那么可以做如下攻击:
    1. 用户访问银行网站http://bank.com,并登录后,http://bank会向cookie中添加用户标记,为了后续的访问不用每次都登录
    2. 用户访问恶意网站http://evil.com,如果可以跨域访问,http://evil.com会用ajax发起对http?/bank.com的请求,如转账等!
    3. 因为请求时,浏览器默认会把http://bank.com对应的cookie发送过去,这样,http://bank.com会拿到之前的cookie,提取用户标志,验证用户无误,认为这个是本人的合法操作
    4. cookie 是明文的,不法网站一样可以利用,如何保证安全?
  • DOM同源策略也一样,如果iframe之间可以跨域访问,可以这样攻击:
    1. 做一个假网站,里面用iframe嵌套一个银行网站 http://mybank.com
    2. 把iframe宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没有任何差别。
    3. 这时如果用户输入账号密码,我们的主网站可以跨域访问到http://mybank.com的dom节点,就可以拿到用户的输入了,那么就完成了一次攻击。
    4. 有一天你刚睡醒,收到一封邮件,说是你的银行账号有风险,赶紧点进 www.yinghang.com 改密码。你吓尿了,赶紧点进去,还是熟悉的银行登录界面,你果断输入你的账号密码,登录进去看看钱有没有少了。 2. 睡眼朦胧的你没看清楚,平时访问的银行网站是 www.yinhang.com,而现在访问的是 www.yinghang.com,这个钓鱼网站做了什么呢?
// HTML

<iframe ></iframe>

// JS

// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom

const iframe = window.frames['yinhang']

const node = iframe.document.getElementById('你输入账号密码的Input')

console.log(`拿到了这个${node},我还拿不到你刚刚输入的账号密码吗`)
  • 同源策略确实能规避一些危险,不是说有了同源策略就安全,只是说同源策略是一种浏览器最基本的安全机制,毕竟能提高一点攻击的成本。其实没有刺不穿的盾,只是攻击的成本和攻击成功后获得的利益成不成正比。

如何进行跨域访问

推荐4和5

  1. jsonp,只支持get,不支持post,需要调用前端和被调用后端配合
  2. 后端HttpClient进行转发,两次请求,效率低,安全(类似Nginx反向代理)
  3. 设置响应头,允许跨域,适于小公司快速解决问题
  4. Nginx搭建API接口网关
  5. Zuul搭建API接口网关

1. jsonp,只支持get,不支持post,需要调用前端和被调用后端配合

1.1 使用《script src=""》来完成一个跨域请求

当点击"跨域获取数据"的按钮时,添加一个<script>标签,用于发起跨域请求;注意看请求地址后面带了一个callback=showData的参数;

showData即是回调函数名称,传到后台,用于包裹数据。数据返回到前端后,就是showData(result)的形式,因为是script脚本,所以自动调用showData函数,而result就是showData的参数。

至此,我们算是跨域把数据请求回来了,但是比较麻烦,需要自己写脚本发起请求,然后写个回调函数处理数据,不是很方便。

<%@ page pageEncoding="utf-8" contentType="text/html;charset=UTF-8"  language="java" %>
<html>
<head>
    <title>跨域测试</title>
    <script src="js/jquery-1.7.2.js"></script>
    <script>
        //回调函数
        function showData (result) {
            var data = JSON.stringify(result); //json对象转成字符串
            $("#text").val(data);
        }

        $(document).ready(function () {

            $("#btn").click(function () {
                //向头部输入一个脚本,该脚本发起一个跨域请求
                $("head").append("<script src='http://localhost:9090/student?callback=showData'><\/script>");
            });

        });
    </script>
</head>
<body>
    <input id="btn" type="button" value="跨域获取数据" />
    <textarea id="text" style="width: 400px; height: 100px;"></textarea>

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("text/html;charset=UTF-8");

    //数据
    List<Student> studentList = getStudentList();


    JSONArray jsonArray = JSONArray.fromObject(studentList);
    String result = jsonArray.toString();

    //前端传过来的回调函数名称
    String callback = request.getParameter("callback");
    //用回调函数名称包裹返回数据,这样,返回数据就作为回调函数的参数传回去了
    result = callback + "(" + result + ")";

    response.getWriter().write(result);
}

1.2 再来看jquery的jsonp方式跨域请求

服务端代码不变,js代码如下:最简单的方式,只需配置一个dataType:‘jsonp’,就可以发起一个跨域请求。jsonp指定服务器返回的数据类型为jsonp格式,可以看发起的请求路径,自动带了一个callback=xxx,xxx是jquery随机生成的一个回调函数名称。

这里的success就跟上面的showData一样,如果有success函数则默认success()作为回调函数。

<%@ page pageEncoding="utf-8" contentType="text/html;charset=UTF-8"  language="java" %>
<html>
<head>
    <title>跨域测试</title>
    <script src="js/jquery-1.7.2.js"></script>
    <script>

        $(document).ready(function () {

            $("#btn").click(function () {

                $.ajax({
                    url: "http://localhost:9090/student",
                    type: "GET",
                    dataType: "jsonp", //指定服务器返回的数据类型
                    success: function (data) {
                        var result = JSON.stringify(data); //json对象转成字符串
                        $("#text").val(result);
                    }
                });

            });

        });
    </script>
</head>
<body>
    <input id="btn" type="button" value="跨域获取数据" />
    <textarea id="text" style="width: 400px; height: 100px;"></textarea>

</body>
</html>

1.3 再看看如何指定特定的回调函数:第30行代码

回调函数你可以写到<script>下(默认属于window对象),或者指明写到window对象里,看jquery源码,可以看到jsonp调用回调函数时,是调用的window.callback。

然后看调用结果,发现,请求时带的参数是:callback=showData;调用回调函数的时候,先调用了指定的showData,然后再调用了success。所以,success是返回成功后必定会调用的函数,就看你怎么写了。

<%@ page pageEncoding="utf-8" contentType="text/html;charset=UTF-8"  language="java" %>
<html>
<head>
    <title>跨域测试</title>
    <script src="js/jquery-1.7.2.js"></script>
    <script>

        function showData (data) {
            console.info("调用showData");

            var result = JSON.stringify(data);
            $("#text").val(result);
        }

        $(document).ready(function () {

//            window.showData = function  (data) {
//                console.info("调用showData");
//
//                var result = JSON.stringify(data);
//                $("#text").val(result);
//            }

            $("#btn").click(function () {

                $.ajax({
                    url: "http://localhost:9090/student",
                    type: "GET",
                    dataType: "jsonp",  //指定服务器返回的数据类型
                    jsonpCallback: "showData",  //指定回调函数名称
                    success: function (data) {
                        console.info("调用success");
                    }
                });
            });

        });
    </script>
</head>
<body>
    <input id="btn" type="button" value="跨域获取数据" />
    <textarea id="text" style="width: 400px; height: 100px;"></textarea>

</body>
</html>

1.4 再看看如何改变callback这个名称:第23行代码

指定callback这个名称后,后台也需要跟着更改。

<%@ page pageEncoding="utf-8" contentType="text/html;charset=UTF-8"  language="java" %>
<html>
<head>
    <title>跨域测试</title>
    <script src="js/jquery-1.7.2.js"></script>
    <script>

        function showData (data) {
            console.info("调用showData");

            var result = JSON.stringify(data);
            $("#text").val(result);
        }

        $(document).ready(function () {

            $("#btn").click(function () {

                $.ajax({
                    url: "http://localhost:9090/student",
                    type: "GET",
                    dataType: "jsonp",  //指定服务器返回的数据类型
                    jsonp: "theFunction",   //指定参数名称
                    jsonpCallback: "showData",  //指定回调函数名称
                    success: function (data) {
                        console.info("调用success");
                    }
                });
            });

        });
    </script>
</head>
<body>
    <input id="btn" type="button" value="跨域获取数据" />
    <textarea id="text" style="width: 400px; height: 100px;"></textarea>

</body>
</html>

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("text/html;charset=UTF-8");

    //数据
    List<Student> studentList = getStudentList();


    JSONArray jsonArray = JSONArray.fromObject(studentList);
    String result = jsonArray.toString();

    //前端传过来的回调函数名称
    String callback = request.getParameter("theFunction");
    //用回调函数名称包裹返回数据,这样,返回数据就作为回调函数的参数传回去了
    result = callback + "(" + result + ")";

    response.getWriter().write(result);
}

1.5 最后看看jsonp是否支持POST方式:ajax请求指定POST方式

可以看到,jsonp方式不支持POST方式跨域请求,就算指定成POST方式,会自动转为GET方式;而后端如果设置成POST方式了,那就请求不了了。

jsonp的实现方式其实就是<script>脚本请求地址的方式一样,只是ajax的jsonp对其做了封装,所以可想而知,jsonp是不支持POST方式的。

2. 后端HttpClient进行转发,两次请求,效率低,安全(类似Nginx反向代理)

@WebServlet("/getServlet")
public class ServletTest extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        /**
         * 创建请求
         */
        CloseableHttpClient aDefault = HttpClients.createDefault();
        /**
         * 创建get请求
         */
        HttpGet httpGet = new HttpGet("http://127.0.0.1/app.ZMTManage/?m=zmtmanage&c=index&a=init");
        /**
         * 执行请求
         */
        CloseableHttpResponse execute = aDefault.execute(httpGet);
        /**
         * 获取状态
         */
        int statusCode = execute.getStatusLine().getStatusCode();
        if (200==statusCode){
            /**
             * 解析请求头
             */
            String entity = EntityUtils.toString(execute.getEntity());
            /**
             * 写入response
             */
            resp.getWriter().print(entity);
            /**
             * 关闭请求
             */
            execute.close();
            aDefault.close();

        }
    }
}

3. 设置响应头,允许跨域,适于小公司快速解决问题

@RequestMapping("/origin")
public String setHeader(HttpServletResponse response) {
    // * 表示允许任何域名跨域访问
    response.setHeader("Access-Control-Allow-Origin", "*");
    // 指定特定域名可以访问
    response.setHeader("Access-Control-Allow-Origin", "http:localhost:8080/");
    // 设置其中一个即可
    // 如果网关或其它地方设置了,1. 在网关过滤,不传递到下下游服务;2. 下游服务设置response.reset()
    return "success";
}

4. Nginx搭建API接口网关(推荐)

  • 这种方式不方便,是

5. Zuul搭建API接口网关(推荐)

服务器接收到请求,并处理了,只是浏览器不接收response?

balsamspear
关注
  • 10
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#浏览器提示跨域问题解决方案
08-18
解决跨域问题的思路就是修改服务器返回头部,添加允许跨域的头部信息,使得浏览器可以认为当前资源允许跨域访问。 知识点总结: 1. 跨域问题浏览器同源策略的结果。 2. 解决跨域问题需要在服务器端添加允许跨域...
浏览器跨域问题解约源代码
11-29
浏览器跨域问题是一个常见的Web开发中的挑战,尤其在进行AJAX请求时,它涉及到Web应用的安全性和通信限制。跨域是由于浏览器实施的同源策略(Same-origin Policy),这是一种安全机制,防止恶意网站通过JavaScript...
浏览器 跨域请求问题解决方法
大学以后的博客
05-18 2891
浏览器 跨域请求问题解决方法 使用框架:前台AngularJs,后台:Restful+gradle 此方法主要用于前后分离的结构,浏览器火狐:60.0.1 如果你只是想简单点,可以直接使用chrome浏览器,可以直接参考chrome谷歌浏览器Ajax跨域调试问题,不用管它是针对ajax还是其他,都可以使用。因为这是浏览器的配置,与你的前后台无关。其他浏览器是没法用的。 跨域问题怎么出现...
浏览器跨域及解决方法
snowball的博客
05-03 1万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同源网页的 DOM。
分享跨域访问的解决方案与基础分析
最新发布
Karka_的博客
05-25 880
Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。下面我们展示JSONP的使用案例。
终结同源策略!轻松实现跨域访问的9种方式!
你若盛开,清风自来
06-25 1652
同时,我们在nginx配置文件中设置了Access-Control-Allow-Origin头信息,允许跨域访问,从而实现了跨域通信的目的。在这个示例代码中,我们使用了Node.js的Express框架实现了一个简单的API,该API允许跨域访问,通过设置响应头信息,指定了允许跨域请求访问的源、请求头和请求方法。在同一个父域名下的不同子域名之间进行跨域操作时,由于浏览器的同源策略,会限制JS代码的访问权限,为了解决这个问题,可以在父域名相同的情况下,通过设置document.domain来实现跨域访问
什么是跨域以及为什么会出现跨域以及跨域的解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
浏览器跨域的四种解决办法
柑橘乌云_
04-29 1011
主要是出于浏览器的同源策略限制,它是浏览器最核心也最基本的安全功能。当一个请求url的三者之间任意一个与当前页面url不同即为跨域。比如:例子1: https://aaa.com 于 http://aaa.com 存在跨域例子2: 127.x.x.x:8080 于 127.x.x.x:8181 存在跨域例子3: https://aaa.com 于 https://bbb.com 存在跨域
关于C#中ajax跨域访问问题
01-20
跨域访问是指什么? [跨域]:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。所谓同域是指,域名,协议,端口均相同,不明白没关系,举个栗子:例如,我...
tomcat跨域访问问题
02-11
在开发Web应用时,我们经常会遇到“跨域访问”(Cross-Origin Resource Sharing, CORS)的问题。Tomcat作为一款广泛使用的Java Servlet容器,同样会遇到这个问题。跨域是由于浏览器的安全策略,同一源策略(Same-...
浏览器跨域问题
m0_45253204的博客
10-11 1868
浏览器跨域问题的原因及其前后端如何解决跨域问题
什么是跨域?如何解决?
热门推荐
GSON的博客
11-01 3万+
一、什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要!!! 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域; 二、跨域访问示例 假设有两个网站,A网站部署在:.
几种允许跨域请求的方法
qcyfred的博客
03-18 7908
跨域请求 Cross-Origin Resource Sharing(CORS) 被禁止”这个问题,应该很常见了。在此,列举一些我试验过的几种办法。
多种方法解决浏览器跨域问题
qq_41936224的博客
06-19 2444
一、是什么请求跨域跨域问题的体现: 什么是同源策略?- 假设有两个url,如果这两个url的协议、ip(域名)、端口完全一样,则这两个url就称这为同源。 什么是跨域问题?- 如果一个页面发送一个请求,请求的url和当前页面本身的url不同源,就会发生所谓的跨域问题。 注意: 1、跨域浏览器的限制行为,和服务器没有关系 2、浏览器的部分标签,是可以进行跨域访问的form、a、img、script、link标签 3、通常来说请求跨域都发生在ajax请求上 4、一般来说,跨域问题都发生在前后端分离的项目
浏览器跨域问题及其解决方法
左岸
10-27 841
跨域由于浏览器的同源策略(请求的url地址,必须与浏览器上的url地址处于同一域上),不在同一域下的地址不能互相访问。同源是指,域名、协议、端口号都一致。同源策略分为以下两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。 XMLHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求
项目中的图片跨域问题解决方式
G294992891的博客
11-16 1万+
现象 首先,在生产环境中,由于进行编辑图片时,将图片回显到ReactCrop组件中进行可裁剪编辑,然而回显时,需要将图片转化为base64的格式或者blob对象, 此时需要将图片次绘制成canvas进行裁剪,但是,就会出现图片的跨域问题,图片不在一个域下的话,使用 canvas 会污染画布,所以就不行啦!!!! 不过这个其实是需要后端在服务端进行配置就好了,但是前端要硬抗的话,那只能含着泪解决吧! 图示 解决方案一 因为在本地进行图片回显的时候就已经跨域了,所以为了保证在同一域的环境进行处理图片显示的
解决浏览器跨域问题常见方法
铁甲小宝爱编程
03-22 1335
浏览器跨域
浏览器解决跨域的5种方法
唐僧洗头用飘柔
01-07 1559
** 浏览器解决跨域 ** CORS跨域资源共享 与JSONP对比更有优势,无请求方式的局限性(post、get均可)。 方法: header(‘Access-Control-Allow-Origin:*’);//允许所有来源访问 header(‘Access-Control-Allow-Method:POST,GET’);//允许访问的方式 谷歌浏览器关闭CORS策略: 在Chrome的快捷方式后面加:–args --disable-web-security --user-data-dir 然后打
出现跨域问题的原因及其解决方法
qq_41020757的博客
07-12 1万+
1、出现跨域问题的原因: 同源策略 2、同源策略 三同 协议相同 域名相同 端口相同同源策略目的 保证用户信息安全,防止恶意网站窃取数据。同源策略是必须的,否则cookie可以共享。 3、同源策略目的 保证用户信息安全,防止恶意网站窃取数据。同源策略是必须的,否则cookie可以共享。 4、同源策略的限制范围 cookie、localstorage、indexdb无法读取。 DOM无法获取。 ajax请求不能发送 5、规避策略 cookie:设置document.do...
chrome浏览器跨域问题
08-09
对于 Chrome 浏览器跨域问题,可以尝试以下几种解决方法: 1. 使用代理:在开发环境中,可以配置一个反向代理服务器,将请求转发到目标服务器并解决跨域问题。常见的代理服务器有 Nginx、Apache 等。 2. JSONP:JSONP 是一种利用 `<script>` 标签进行跨域请求的方法。通过在请求 URL 中添加一个回调函数的参数,服务器返回的响应会被包裹在该回调函数中,从而实现跨域请求。 3. CORS(跨源资源共享):CORS 是一种现代浏览器支持的跨域解决方案。服务器可以通过设置响应头中的 `Access-Control-Allow-Origin` 字段来指定允许跨域访问的源。例如,可以设置为 `Access-Control-Allow-Origin: *` 表示允许任意源进行跨域访问。 4. 代理插件:Chrome 浏览器中有一些插件可以帮助解决跨域问题,例如 SwitchyOmega、ModHeader 等。这些插件可以配置请求头、代理等信息,从而实现跨域请求。 需要注意的是,以上方法适用场景各有差异,选择合适的方法需要根据具体情况进行判断。此外,在生产环境中,应注意安全性和合规性,谨慎使用跨域解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值