跨域-------------同源策略

最新推荐文章于 2022-04-21 09:50:20 发布
最新推荐文章于 2022-04-21 09:50:20 发布
阅读量299 收藏
点赞数
分类专栏: js 前端框架-vue 文章标签: 跨域 同源策略 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chjj0904/article/details/80539544
版权
在前端开发中,经常遇到"跨域"的问题,以下的文章将 探讨一下为什么会有"跨域"问题的出现,和所谓的"同源策略"


同源策略

1995 年由 Netscape 公司提出,之后被其他浏览器厂商采纳。同源策略只是一个规范,并没有指定其具体的使用范围和实现方式,各个浏览器厂商都针对同源策略做了自己的实现。一些 web 技术都默认采取了同源策略,这些技术范围包括但不限于SilverlightAdobe FlashAdobe AcrobatDomXMLHttpRequest

为了保证使用者信息的安全,防止恶意网站篡改用户数据--------假设没有同源策略,那么我在A网站下的cookie就可以被任何一个网站拿到;那么这个网站的所有者,就可以使用我的cookie(也就是我的身份)在A网站下进行操作-------同源策略可以算是 web 前端安全的基石,如果缺少同源策略,浏览器也就没有了安全性可言。

非同源的网站之间

  • 无法共享 cookie, localStorage, indexDB
  • 无法操作彼此的 dom 元素
  • 无法发送 ajax 请求
  • 无法通过 flash 发送 http 请求
  • 其他

跨域

同源策略做了很严格的限制,但是在实际中,又确实地方需要突破同源策略的限制,也就是我们常说的跨域


同源策略最早被提出的时候,为的就是防止不同域名的网页之间共享 cookie,但是如果两个网页的一级域名是相同的,可以通过设置 document.domain来共享 cookie。

study.cn/json/jsonp/jsonp.html
 请求地址 形式 结果
 http://study.cn/test/a.html同一域名,不同文件夹 成功
 http://study.cn/json/jsonp/jsonp.html同一域名,统一文件夹 成功
 http://a.study.cn/json/jsonp/jsonp.html不同域名,文件路径相同 失败
 http://study.cn:8080/json/jsonp/jsonp.html 同一域名,不同端口 失败
 https://study.cn/json/jsonp/jsonp.html 同一域名,不同协议 失败

 

 

 

 

 

 

jsonp的产生:

1.AJAX直接请求普通文件存在跨域无权限访问的问题,不管是静态页面也好.

2.不过我们在调用js文件的时候又不受跨域影响,比如引入jquery框架的,或者是调用相片的时候

3.凡是拥有scr这个属性的标签都可以跨域例如<script><img><iframe>

4.如果想通过纯web端跨域访问数据只有一种可能,那就是把远程服务器上的数据装进js格式的文件里.

5.而json又是一个轻量级的数据格式,还被js原生支持

6.为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback 参数给服务端,


前端平时开发的过程中,解决跨域问题的集中方案请移步-------https://blog.csdn.net/chjj0904/article/details/78752792



江木
关注
专栏目录
跨域-同源策略
KaisonYi的博客
04-28 1124
跨域 同源策略(Same origin Policy) 浏览器出于安全考虑,只允许与本域下的接口交互。不同源的客户脚本在没有明确授权的情况下,不能读写对方的资源 发送的请求和当前所在的页面是同一个域下的话,是可以接受的域名,这是浏览器的安全策略 同源指的是什么 同协议: 如http/https 同域名: http://baidu.com 同端口:80端口 修改host的作用 127.0.0...
同源策略跨域解决方案
weixin_30348519的博客
08-22 268
同源策略跨域解决方案 同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 ht...
同源策略跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
跨域同源策略
吴小粥的博客
10-23 312
浏览器时处于安全性的考虑而使用了同源策略,不允许跨域访问。
理解跨域同源策略
m0_45899013的博客
06-24 539
当浏览器报错 No ”Access-Control-Allow-Origin“时,就是碰到了跨域问题了! 一、跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域则指:协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) 二、同源的定义 如果两个 URL 的 protocol、port
node跨域转发 express+http-proxy-middleware的使用
08-27
这种技术可以解决浏览器同源策略的限制,允许客户端访问不同域名下的资源。 为什么使用 Node 代理转发? 使用 Node 代理转发可以实现前后端分离,不需要在前端机器上搭建一套 Java 环境。只需要在 Node 服务器上...
origin-storage:跨域访问的同源存储(IndexedDBWebSQLlocalStorage)
05-17
一个用于跨域访问的同源存储,它基于localForage,并支持IndexedDB,WebSQL和localStorage。 origin-storage在不支持IndexedDB或WebSQL的浏览器中使用localStorage。 并且不支持Safari。 目录 动机 当不同的网站域...
DRF跨域后端解决之django-cors-headers的使用
09-19
在Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单来说,如果两个URL的协议、域名或端口不同,那么这两个资源就属于不同的...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
在Web开发中,由于浏览器的同源策略限制,不同源的资源之间无法直接进行交互,这就是所谓的跨域问题。为了克服这一限制,开发者通常会利用HTTP头部的`Access-Control-Allow-Origin`字段来允许特定或所有来源的请求。...
同源策略&跨域
m0_67841039的博客
04-21 2905
了解同源策略&跨域 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是跨域 同源指的是两个 URL 的协议
同源策略跨域
好好
12-06 1780
一、同源介绍 同源策略:限制从同一个源加载的文档或脚本与另一个源的资源进行交互。是用于隔离潜在恶意文件的重要机制。 1.怎么算是同源 如下的访问方式: 2.如果没有同源策略的危险场景 没有同源策略的接口请求: 当你进行了接口请求的时候,服务器验证之后会在响应头set-cookie字段,下次再发起请求的时候,浏览器自动将cookie附加在Http请求头字段cookie中,就可以验证登录过。 当我们...
跨域,同源策略
Johnsos的博客
11-20 243
什么是跨域? 跨域,指的是从一个域名的网页去请求另一个域名的资源时,域名,端口,协议任何一个不同,都是跨,通俗点讲,淘宝上打开的页面是访问不到京东的信息,主要是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制,那么同源策略是什么呢? 同源策略: 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.这个策略可以阻止一个页面上的恶意脚本通过页面的D...
深圳Web前端学习:跨域
11-25 171
深圳Web前端学习:跨域 在web有一种现象:不同的域名之间相互分享资源(信息)并进行通信。 这种现象叫做:跨域。 表面上看起来多个站点之间的来往增加是非常好的,但是其中弊端却是更大的。因为你不知道其他站点会拿你分享给他的信息做什么事情。所以出于安全性的考虑,在web中跨域这种现象默认是不允许的。 如果在两个或多个站点提前说好,我可以把我们站点客户端的数据分享给你,这样就会被浏览器默认阻止,因为他...
跨域同源策略
nilmao的博客
03-21 8210
跨域问题涉及到WEB网页安全性问题,使用不当会造成用户隐私泄露风险,但有时业务上又需要进行跨域请求。如何正确的使用跨域功能,既能满足业务需求,又能够满足安全性要求,显得尤为重要。 1.1.同源策略 协议相同 域名相同 端口相同 同源策略限制内容有: Cookie、LocalStorage、IndexedDB 等存储性内容 DOM 节点 AJAX 请求发送后,结果被浏览器拦截了 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 1.2.为什么要有跨域限制 Ajax 的同源策
DOM-XSS漏洞挖掘与攻击面全面解析
DOM-XSS(Document Object Model Cross-Site Scripting)是一种特殊的跨站脚本攻击,针对的是浏览器解析和执行JavaScript的能力...在现代Web开发中,跨源策略(CORS)、同源策略和沙箱模式也是防止DOM-XSS的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值