【面试题】跨域

最新推荐文章于 2024-08-26 21:57:58 发布
最新推荐文章于 2024-08-26 21:57:58 发布
阅读量693 收藏 3
点赞数 3
分类专栏: 面试题 文章标签: 面试 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daddykei/article/details/120072044
版权

【面试题】跨域

https://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
https://juejin.cn/post/6844903972742889480#heading-10

同源策略

概念
同源策略:同端口、同域名、同协议

选择题:下列是否符合同源策略
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)

目的
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。

由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。

localhost 和 127.0.0.1 虽然都指向本机,但也属于跨域。

限制范围
"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送。

不存在跨域的情况(无视同源策略)

服务端请求服务端不存在跨域(浏览器请求服务器才存在同源策略)
< img src="跨域的图片地址"> (<img>标签的 src 属性不存在跨域)
<link href="跨域的css地址"> (<link>标签的 href 属性不存在跨域)
<script src="跨域的js地址"></script> (<script>标签的 src 属性不存在跨域)

跨域常见的方法

  • JSONP
  • WebSocket
  • CORS

JSONP

JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老式浏览器全部支持,服务器改造非常小。

它的基本思想是,网页通过添加一个<script>元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

首先,网页动态插入<script>元素,由它向跨源网址发出请求。

function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}

window.onload = function () {
  addScriptTag('http://example.com/ip?callback=foo');
}

function foo(data) {
  console.log('Your public IP address is: ' + data.ip);
};

上面代码通过动态添加<script>元素,向服务器example.com发出请求。注意,该请求的查询字符串有一个callback参数,用来指定回调函数的名字,这对于JSONP是必需的。

JSONP(get形式)

问:为什么jsonp只支持get请求?

JSONP 是一种【请求一段 JS 脚本,把执行这段脚本的结果当做数据】的玩法。

所以,你能 POST 一段通过 script 标签引入的脚本吗?

(如果看过 JSONP 库的源码就知道,常见的实现代码其实就是 document.createElement(‘script’) 生成一个 script 标签,然后插 body 里而已。在这里根本没有设置请求格式的余地)。

所以JSONP的实现原理就是创建一个script标签, 再把需要请求的api地址放到src里. 这个请求只能用GET方法, 不可能是POST

原理:
利用<script>标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的 JSON 数据。JSONP请求一定需要对方的服务器做支持才可以
优缺点

1.优点
1.1它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制,JSONP可以跨越同源策略;
1.2它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持
1.3在请求完毕后可以通过调用callback的方式回传结果。将回调方法的权限给了调用方。这个就相
当于将controller层和view层终于分开了。我提供的jsonp服务只提供纯服务的数据,至于提供服务以
后的页面渲染和后续view操作都由调用者来自己定义就好了。如果有两个页面需要渲染同一份数据,
你们只需要有不同的渲染逻辑就可以了,逻辑都可以使用同 一个jsonp服务。
2.缺点
2.1它只支持GET请求而不支持POST等其它类型的HTTP请求
2.2它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
2.3 jsonp在调用失败的时候不会返回各种HTTP状态码。
2.4缺点是安全性。万一假如提供jsonp的服务存在页面注入漏洞,即它返回的javascript的内容被人控制
的。那么结果是什么?所有调用这个 jsonp的网站都会存在漏洞。于是无法把危险控制在一个域名下…
所以在使用jsonp的时候必须要保证使用的jsonp服务必须是安全可信的。

WebSocket

WebSocket是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀。该协议不实行同源政策,只要服务器支持,就可以通过它进行跨源通信。

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com

上面代码中,有一个字段是Origin,表示该请求的请求源(origin),即发自哪个域名。

正是因为有了Origin这个字段,所以WebSocket才没有实行同源政策。因为服务器可以根据这个字段,判断是否许可本次通信。

CORS

问:CORS与JSONP的比较

CORS与JSONP的使用目的相同,但是比JSONP更强大。

JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

问:什么是CORS?

CORS的全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
问:如何理解CORS?

如果wang.com和ergou.com这两个网站都是我的,我就是想让wang.com去访问ergou.com里面的数据应该怎么办呢?
只需要wang.com在响应头里写ergou.com可以访问即可。这就是CORS。
实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

问:CORS存在的问题

不支持IE8/9,如果要在IE8/9使用CORS跨域需要使用XDomainRequest对象来支持CORS

简单请求
只要满足以下条件的就是简单请求:

请求方式为HEAD、POST 或者 GET
http头信息不超出以下字段:Accept、Accept-Language 、 Content-Language、 Last-Event-ID、 Content-Type(限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain)

简单请求的实现具体来说就是在信息头中加入一个Origin字段:

GET /cors HTTP/1.1
Origin: http://wang.com
Host: api.ergou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0
...

Origin的作用就是用来说明本次请求来自哪个源,服务器会根据Origin的值来判断是否接受本次请求。
如果Origin所表示的源不被服务器接受,即浏览器发现回应的信息头中没有Access-Control-Allow-Origin字段,就会自动抛出一个错误。
注意:这种错误是无法通过状态码识别的,这也是通过CORS实现跨域请求的一个弊端。

选择题

1. 解决跨域的方案,以下说法对的是
A、可以利用flash的http请求,来处理跨域问题
B、通过iframe设置document.domain可以实现跨域
C、一般情况下,m.toutiao.com可以ajax请求www.toutiao.com域名下的接口并获得响应
D、通过jsonp方式可以发出post请求其他域名下的接口

正确答案:B

解析:

B、站内AJAX跨域可以通过document.domain和iframe实现,document.domain;这种方式用在主域名相同子域名不同的跨域访问中
C、同源策略
DJSONP的缺点则是:它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域
HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

2. 解决跨域的方案,以下说法对的是
A、如果接口为post请求,后端人员将接口的method改为get可以解决
B、jsonp的内部是ajax实现的
C、建议在线上使用webpack devServer proxy解决
D、建议线上接口修改Nginx增加header头解决

正确答案:C

B、jsonp请求;jsonp的原理是利用<script>标签的跨域特性,可以不受限制地从其他域中加载资源,类似的标签还有<img>.
JSONP 核心原理script 标签不受同源策略影响。动态插入到 DOM 中的 script 脚本可以立即得到执行。和ajax没有关系。
D、nginx做反向代理用的,响应头的设置是后端
thinkasany
关注
专栏目录
Telegram Bot小程序开发(一)基础入门
西京刀客
07-13 612
Telegram Bot 是完全在 Telegram 应用程序中运行的小型应用程序。用户通过灵活的界面与机器人交互,这些界面可以支持任何类型的任务或服务。
Telegram Mini App实战TMAS(Telegram小程序
zs858570636的博客
12-07 5300
Telegram Mini App 以下称为小程序,其可以以键盘按钮、内联按钮、机器人菜单按钮、内联模式或直接链接启动。创建Mini APP
telegram 小程序开发之旅(一)
吾娱生活的专栏
07-23 520
telegram 的内置对象通过 context 挂载到全局,在 provides 下新建 TelegramProvider。
QQ2TG:帮助QQ与Telegram互联的小程序
02-04
QQ2TG 一个帮助QQ​​与Telegram互联的小程序 演示 简述 程序主体使用PHP ,依赖于swoole ,配合酷Q的插件使用 目前还不是十分完善,可能存在各种奇怪的问题,还请各位dalao指点一二 特征 使用Swoole的异步HTTP客户端请求Telegram Bot API服务器 将QQ图片缓存为Telegram文件ID,提高效率 扩展性较高,可轻松支持一个新的CQ码或电报消息格式 支持双向发起私聊消息 支持QQ自带的表情符号 支持Telegram端撤回QQ消息 支持私聊QQ黑名单 支持Sticker无损转发(可以当Sticker转移机器人啦233 附带网站端消息查看 支持位置信息
Telegram Bot for Windows:Telegram Bot Windows 应用程序-开源
06-27
这是适用于您的 Telegram Bot 的 Windows 功能应用程序。 要创建自己的机器人,您必须通过 BotFather 机器人在 Telegram 中注册新机器人。 BotFather 将为您提供将在此应用程序中使用的唯一 Autch 代码。
Miniapp
beyondkim
06-16 538
Miniapp 介绍 阿里云服务器搭建的是什么环境? 开发环境 阿里云小程序云应用测试环境和生产环境 运行环境 SDK 微信小程序服务端环境 JDK1.8 后端运行环境NodeJS Linux Nginx MySQL PHP LNMP Web服务环境 Java Web测试环境 Node.js测试开发环境 Ruby Web开发测试环境 Hadoop/Spark分布式系统 项
2024年你需要了解的Telegram Mini Apps(迷你应用)
最新发布
weixin_31351409的博客
08-26 150
Telegram Mini Apps(迷你应用)——即在Telegram Messenger界面中运行的功能强大的应用程序,是真正的赚钱之道。了解它们为何值得你投入时间。Telegram Mini Apps,简称TMA,实际上是嵌入Telegram中的网页应用。它们允许你在平台内直接运行自己的网页应用,并附带一个API,使应用与Telegram Messenger实现流畅交互。在这篇文章中,我们将...
MiniApp微信小程序入口在安卓手机桌面
weixin_34321753的博客
11-19 247
  11月18日晚间,张小龙的朋友圈截图流出,图片中是一部安卓手机,桌面上的APP名称中带有“MiniApp”的字样(第排第个),图片配文“程序猿的一小步,程序的一大步。”众多程序员推测图中手机桌面上的APP图标就是小程序的入口。微信小程序正式上线   这张张小龙朋友圈截图传递出几个信息。 张小龙的确兑现了承诺“小程序更接近原生应用”。 针对于以前小程序入口深,没有关...
CPTelegram:电报Bot控制面板(php)
05-15
CPT电报 关于我,我为您的电报创建了一个匹配的控制面板,以添加/删除按钮,命令等。 ## Configuration #### Step 1在inc目录中打开function.php : define ( "LOCALHOST" , "Your Host" ); // localhost define ( "DBNAME" , "Your Database name" ); // project define ( "DBUSERNAME" , "Your Database Username" ); // root define ( "DBPASSWORD" , "Your Password" ); // Your Password 编辑您的代码作为您的数据库信息。 ####步骤2请在您的数据库中运行以下SQL代码以添加admin_telegram表: CREATE TABLE
MiniAppStore
01-30
MiniAppStore v1.0 正式版.zipMiniAppStore v1.0 正式版.zipMiniAppStore v1.0 正式版.zipMiniAppStore v1.0 正式版.zip
telegram-bot, Rust 库创建电报 Bot.zip
10-10
telegram-bot, Rust 库创建电报 Bot Rust 电报Bot库 文档:最新 crates.io 版本master用于编写你自己的电报机器人的库。 更多信息:这里的 。 官方 API 在这里。示例下面是一个简单的示例( 请参见 example/si
telegram:电报Bot模板
04-12
清洁机器人 Bot从群组中删除垃圾邮件 用法 建造 执行./gradlew clean shadowJar 。 您的jar将位于./build/libs 。 部署
django-telegram-bot, Django 应用编写电报机器人 只需定义命令以及如何处理命令.zip
09-18
django-telegram-bot, Django 应用编写电报机器人 只需定义命令以及如何处理命令 django-telegram-botCI: 映射: 文档: Django 应用编写电报机器人。 只需定义命令以及如何处理命令。试用 try: 更稳定的Django 应用程序,适用于僵尸机器人 https:/
MiniAPP微信小程序
05-20
微信小程序是关于音乐的
[小程序利器] miniapps 工程化解决方案
03-29
昨天晚上正好在飞机上,然后凌晨才到北京。打开微信,突然好多消息: 是滴,大家都在讨论 微信小程序 ~ 滴滴作为第一批的小程序开发者,也和很多开发同学一样,遇到了一些问题,不过还是得到了很多方面的帮助,有内部各个团队的协助,也有微信小伙伴的指导,领导们的支持。 我和我们团队的同学也分别参加了 CSDN 的《SDCC 2016中国软件开发者大会》以及 CSDN 给移动开发者举办的线下分享会,通过我们的技术实践来分享给业界的其他小伙伴。 今天,在这个小程序发布的好时候,我们也对外开放我们内部的一个小程序开发利器 - miniapps A useful tool for developing webc
webview加载网页出现("找不到网页net:err_unknown_url_scheme")
海阔天空
06-16 7260
一般情况是由于协议不同引起的,添加下面的设置,如果不是HTTP或HTTPS协议则由浏览器进行解读 webView.getSettings().setUserAgentString("Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0");
乐游TGapi接口平台(接口商)
weixin_44393261的博客
04-30 7104
TG接口文档 所有接口统一使用POST方式,Content-Type: application/x-www-form-urlencoded; 1.0.0 API 错误返回值说明 错误返回示例 {"Code":10,"Message":"api_code error"} Code 状态码 Code 描述 说明 0 成功 成功 -1 未知错误 具体看返回的错误信息 10 api_code error 一般api_code错误导致 1.
java开发telegram bot机器人发送消息
03-28
以下是Java代码示例,用于向Telegram Bot发送消息: ``` import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLEncoder; public class TelegramBot { public static void main(String[] args) throws IOException { String botToken = "YOUR_BOT_TOKEN_HERE"; String chatId = "YOUR_CHAT_ID_HERE"; String message = "Hello, world!"; String urlString = "https://api.telegram.org/bot" + botToken + "/sendMessage?chat_id=" + chatId + "&text=" + URLEncoder.encode(message, "UTF-8"); URL url = new URL(urlString); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); conn.setRequestMethod("GET"); BufferedReader rd = new BufferedReader(new InputStreamReader(conn.getInputStream())); StringBuilder result = new StringBuilder(); String line; while ((line = rd.readLine()) != null) { result.append(line); } rd.close(); System.out.println(result.toString()); } } ``` 在这个示例中,您需要将YOUR_BOT_TOKEN_HERE和YOUR_CHAT_ID_HERE替换为您的Telegram Bot的令牌和聊天ID。您可以在BotFather中获取令牌,而聊天ID可以通过与Telegram Bot对话并发送“/start”命令来获取。 这个示例使用GET请求发送消息,因此在发送消息之前,您需要确保您的电脑可以访问Telegram服务器。如果您的网络环境无法访问Telegram服务器,则需要使用代理或VPN。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值