同源策略与跨源策略

最新推荐文章于 2024-07-24 23:00:08 发布
最新推荐文章于 2024-07-24 23:00:08 发布
阅读量424 收藏
点赞数 1
分类专栏: 前端一条龙 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/garrulousabyss/article/details/128699887
版权

1. 同源策略

同源策略是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须有相同的URI、主机名和端口号,一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。

此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据。 同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于HTTP cookie来维持用户会话,所以必须将不相关网站严格分隔,以防止丢失数据泄露。

值得注意的是同源策略仅适用于脚本,这意味着某网站可以通过相应的HTML标签,访问不同来源网站上的图像、CSS和动态加载脚本等资源。而跨站请求伪造就是利用同源策略不适用于HTML标签的缺陷。 ​

2. 如何进行跨域

(1)CORS

CORS的本质:

a. 简单请求

A 通过响应头告诉浏览器,我愿意共享给 B

b. 复杂请求

为了防止 POST/PUT/PATCH 请求对数据造成影响

浏览器会先发 OPTIONS 请求,问 A 接不接受 POST/PUT/PATCH

如果接受,浏览器才会发真正的请求

比如 post 请求的功能是打款给他人

(2)JSONP

a. 取巧

由于 <script> 标签不受同源策略约束,可以请求任意 JS

所以后端把数据直接放在 JS 里了 对回调的使用是 JSONP 的点睛之笔

b. 与 JSON 的关系

毫无关系

(3)反向代理

步骤

假设 a.com:8888 想把 GET /data 共享给 b.com:7777

1. b.com 后端提供一个 /data(Nginx 配置如右)

2. b.com 前端通过 AJAX 访问 b.com/data

3. b.com/data 向 a.com/data 发请求,得到响应之后给 b.com 的前端

garrulousabyss
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8135
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
跨域(CORS、同源策略请求)
qq_36777191的博客
07-20 495
问题描述: No 'Access-Control-Allow-Origin' header is present on the requested resource: Access to XMLHttpRequest at 'http://localhost:88/api/sys/login' from origin 'http://localhost:8002' has been blocked by CORS policy: Response to preflight request doesn.
区分同源与同源
weixin_33966365的博客
09-03 1354
2019独角兽企业重金招聘Python工程师标准>>> ...
前端常见的跨域解决方案
qq_24832277的博客
06-29 2211
一、什么是跨域 专业的解释是,两个不同源的服务去访问对方的资源,就是所谓的跨域,而浏览器处于安全方面的考虑是不允许跨域请求的 跨域服务端控制的,而是浏览器的安全策略,当发生跨域请求时候,请求是可以正常发送到对方服务器的,只是浏览器会根据 ”Access-Control-Allow-Origin" 来判断当前域名是否有访问权限,从而决定是否解析返回的数据信息。 其中简单的说就跨域是浏览器不会解析跨域请求返回的数据。 二、什么是同源 同源是指协议、域名、端口都相同 URL
同源策略前端跨域
huyao的博客
07-27 1629
原文链接:https://segmentfault.com/a/1190000015597029  同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依...
深入浅析同源策略和跨域访问
09-03
3. 代理服务器:通过在服务器端设置代理,将客户端的请求转发至其他源,从而绕过浏览器的同源策略。 4. window.postMessage:这是一种DOM级别的跨窗口通信方式,允许不同源的窗口之间传递消息,实现一定程度的跨域...
JavaScript同源策略和跨域访问实例详解
10-18
另一种跨域解决方案是CORS(Cross-Origin Resource Sharing,跨源资源共享)。CORS是现代浏览器支持的一种标准,允许服务器通过设置特定的HTTP头部(如`Access-Control-Allow-Origin`)来允许特定的跨域请求。这样,...
WEB前端安全之同源策略.pdf
07-02
5. **CORS (Cross-Origin Resource Sharing)**:跨源资源共享是现代浏览器支持的一种标准,允许服务器通过设置特定的HTTP响应头(如`Access-Control-Allow-Origin`)来允许其他源的页面访问其资源。这种方式比JSONP...
基于云计算的多源异构大数据跨源调度方法-综合文档
05-23
本文将详细探讨基于云计算的多源异构大数据跨源调度方法这一主题,旨在理解其核心概念、技术原理以及实际应用。 首先,我们需要了解“多源异构大数据”。多源意味着数据来源于不同的源头,如社交媒体、物联网设备、...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
在《Collabtive系统浏览器同源策略探索实验》中,你将有机会亲自运行源代码,体验同源策略如何影响跨域通信。源码的分析和实践将帮助你更好地掌握这一概念,同时,设计说明书会提供理论背景和具体步骤,指导你如何...
JSONP实现跨域(同源策略请求)
weixin_46105448的博客
03-12 3152
前言 昨天晚上在B站看了关于跨域的半节课,为什么是半节呢,因为就看到讲完jsonp实现跨域,再往后的方法我觉得我可能就看不懂了,所以先掌握这些啦,那么现在来总结一下昨天的收获: 什么是跨域呢? 在真实项目中,前端服务器往往被拆分为web服务器、data服务器、图片服务器……等等。web服务器用来给存储静态资源,即展示给用户的页面,而data服务器则会负责网站的业务逻辑和数据分析等工作,这两个服务器往往会有不同的域名或者端口,那么如何将后端业务逻辑和数据请求到前端页面中呢?这时候就需要“跨域”来帮助了。 跨域
同源策略及跨域方法
double2的博客
01-05 2024
同源策略 documentdomain windowname locationhash HTML5的postMessage方法 JSONP CORS 简单请求 简单请求 参考文章同源策略 同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 同源指的是:同协议,同域名和同端口。
同源策略和跨域访问
qgw_2000的专栏
05-03 3682
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的常重要的安全策略。     何谓同源:         URL由协议、
同源策略及解决办法
热门推荐
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
同源策略是什么?为什么会有同源策略
weixin_38358629的博客
10-09 4491
协议、域名以及端口号相同就为同源,是由Netscape提出的一个著名的安全策略策略主要限制js的能力 1.无法读取同源的 cookie、Storage、indexDB的内容 2.无法读取同源的DOM 3.无法发送同源的AJAX,更加准确的说应该是发送了请求但被浏览器拦截了,也就是说浏览器会拦截同源的请求。 为什么会有同源策略?简单来说是为了安全 1.为了防止恶意网页可以获取其他网站的本地数据。 2.为了防止恶意网站iframe其他网站的时候,获取数据。 3.为了防止恶意网站在
什么是同源策略
weixin_70437515的博客
06-28 9408
概述:先来看看 域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也同源。同源策略限制内容有:但是有三个标签是允许跨域加载资源:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
同源策略及规避方法
Nundy
04-20 2169
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
网站基本布局CSS
m0_46608027的博客
07-24 758
* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
最新发布
yangshuquan的专栏
07-24 779
在做数据库设计时,为了方便进行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
理解WEB前端安全:同源策略与跨域特性分析
这个策略有效地阻止了跨站脚本攻击(Cross-Site Scripting, XSS)的发生,XSS攻击通常利用同源策略的漏洞,使攻击者能够执行跨站脚本,窃取用户的登录凭证或其他敏感信息。 二、不同场景下的跨域特性总结 尽管同源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值