禁止跨域访问

最新推荐文章于 2024-07-08 23:41:02 发布
最新推荐文章于 2024-07-08 23:41:02 发布
阅读量6.4k 收藏 2
点赞数
文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanshileiai/article/details/50548252
版权

站内 post 请求资源,可能被站外访问利用,而造成资源浪费、占用 等情况的做如下处理 。

方法一:判断 HTTP Referer

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器以此可以获得一些信息用于处理。

在 post 请求 “文件” 或 “函数” 的最开始地方加入判断 HTTP Referer:以下为 php 代码,不语言做法相同。
1. 没有 Referer ,属于直接访问连接。如 http://www.a.com/ajax.php 返回 error .
2. 有 Referer ,但不是本站访问,Referer 不包含 a.com domain。返回 error .

// 如果(没有 Referer 或者 Referer 非本地访问的)return 'error' 或 die() 程序结束
if(!isset($_SERVER['HTTP_REFERER']) || !strstr($_SERVER['HTTP_REFERER'], 'http://www.a.com/')){
    echo "error";
    die();
}

方法二:服务器端禁止跨域访问

Nginx禁止跨域访问某个PHP文件

location ~ \.php$ {
    ...

    #新增代码 start -------------------------------------

    # 假设 ajax.php 文件路径是 /includes/ajax.php 和网站域名是 www.a.com

    # 新增一个变量 $nolocal 值为 1
    set $nolocal 1;

    #下面开始判断,不是 POST 或者请求路径不是 ajax.php 的路径或者请求来源属于本站域名时,都设为 0

    #因为 nginx 不支持多条件判断,这里用三个 if ~
    if ($request_method != POST) {
        set $nolocal 0;
    }
    if ($request_uri != /includes/ajax.php) {
        set $nolocal 0;
    }
    if ($http_referer ~* "www.a.com") {
        set $nolocal 0;
    }

    #经过上面的筛选,值是 1 的,也就是本站外来源POST ajax.php 数据过来,直接返回 403 拒绝处理
    #这样,其他来源的请求就浪费不了你的PHP进程了。
    if ($nolocal) {
        return 403;
    }

    #新增代码 end -------------------------------------

    ...
}
中国风2012
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx实现跨域访问遇到的问题
10-22
什么是最好的跨域实现方式?nginx实现跨域访问遇到的系统环境问题解决方法,踩过的坑分享给大家
浏览器拦截跨域
luuu7的博客
05-19 463
如: Response.Headers.Add("Access-Control-Allow-Origin", "*"); // JSON { 'Access-Control-Allow-Origin': '*', } // HTML meta http-equiv="Access-Control-Allow-Origin" content="*"> // PHP header("Access
Nginx:关于实现跨域代理
最新发布
jclee95的个人博客
07-08 1743
本文讨论Nginx实现跨域代理相关话题。
nginx php 跨域访问权限,Nginx如何禁止跨域访问某个PHP文件?
weixin_36443823的博客
03-21 144
看下了文档,写了几行代码解决了,暂时用这个解决方法,如有更好的,也欢迎留言。下面贴出代码location ~ \.php$ {#新增代码 start# 假设 ajax.php 文件路径是 /includes/ajax.php 和网站域名是 www.a.com# 新增一个变量 $nolocal 值为1,也就是真set $nolocal 1;#下面开始判断,不是 POST 或者请求路径不是 ajax....
屏蔽谷歌chrom浏览器的跨域检测的最新方案
weixin_42129248的博客
08-06 1253
–disable-web-security --user-data-dir 在浏览器属性中,目标处加上空格,并加上该命令,即可关掉浏览器的跨域检测,实现跨域访问
Nginx允许跨域禁止跨域操作
weixin_34410662的博客
11-15 6806
Nginx默认是禁止跨域操作,可能说到跨域好多伙伴会有点迷糊,什么叫跨域?为什么不能跨域呢? 看下面小编的详解。 url 说明 是否跨域 http://www.cnblogs.com/a.js http://www.a.com/b.js 不同域名 是 http://www.a.com/lab/a.js http://www.a.com...
浏览器默认禁止跨域请求解决办法
qq_39206750的博客
11-08 1739
在chrome运行项目时、如果demo中有Ajax操作浏览器就会报一个错: Access to XMLHttpRequest at ‘file:///C:/Users/14524/Desktop/QQ%E9%9F%B3%E4%B9%90%E6%92%AD%E6%94%BE%E5%99%A8/source/musiclist.json’ from origin ‘null’ has been blo...
解决跨域之烦恼:Nginx如何成为你的跨域问题终结者
fudaihb的博客
04-15 4834
跨域问题是Web开发中常见的难题,但幸运的是,使用Nginx可以轻松地解决这一问题。本文将指导你如何通过配置Nginx来克服跨域限制,让你的Web应用更加灵活和强大。
nginx代理解决跨域问题_nginx 跨域解决(1),Linux运维开发大佬的百度美团快手等大厂Offer收割之旅
2401_84181340的博客
04-10 1259
4.跨域资源加载限制:如果不受同源策略限制,恶意网站可以加载其他域名下的资源(如图片、样式表、脚本),可能用于执行 XSS(跨站脚本)攻击或其他类型的攻击。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?10、什么叫CDN?
跨域的解决方式(java后端)
从基础到源码解析的学习记录
12-14 2869
同源策略(Sameoriginpolicy)是浏览器最核心也最基本的安全功能一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号。
java解决请求跨域的两种方法
08-25
主要为大家详细介绍了java解决请求跨域的两种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
什么是跨域?为什么要禁止跨域?怎样跨域
qq_28773159的博客
03-14 3828
什么是跨域 现代浏览器处于安全考虑,都会去遵守一个叫做“同源策略”的约定,同源的意思是两个地址的协议、域名、端口号都相同的情况下,才叫同源。这个时候两个地址才可以相互访问 cookie、localStorage、sessionStorage、发送 ajax 请求,如果三者有一个不同,就是不同源,这时再去访问这些资源就叫做跨域。 为什么禁止跨域 跨域访问会造成很多安全问题,下面我们来看一...
浅谈为什么要限制跨域以及如何实现跨域
ZKH129的博客
06-11 1344
跨域的几种方法
iframe 跨域_如何理解浏览器的跨域问题?常用的解决方式有哪些?
weixin_39626181的博客
11-28 177
如何理解浏览器的跨域问题?常用的解决方式有哪些?浏览器的同源策略会导致跨域,这里同源策略又分为以下两种 :DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。只要协议、域名、端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域...
服务器跨域请求设置
lucien7l的博客
07-23 2555
问题:       通过Ajax方式访问跨域的资源时。浏览器报错:“已阻止跨源请求:同源策略禁止读取位于 http://www.zuimeimami.com*****的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')”。 问题分析:        跨域资源共享(CORS)机制允许Web应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。...
跨域问题&解决方法
zjg19991220的博客
08-07 389
1.测试服务器 在login页面上,点击登录,查看后端服务器的反应,后端能收到请求,但是前端网页上出现了跨域错误; 遇到了一个熟悉的错误:ajax跨域错误! 注意:跨域错误本质问题出在浏览器,而不是服务器端,服务器是可以顺利收到请求的 本地服务器不允许跨域访问的(线上的服务器是经过了特殊处理的,它支持跨域访问) 2.跨域-原因及解决方案 如何判断请求是否跨域 在A地址(发起请求的页面地址)向B地址(要请求的目标页面地址)发起请求时, 如果A地...
服务器端解决跨域问题的三种方法
热门推荐
技术博客
03-01 4万+
服务端解决跨域请求
什么是跨域,为什么浏览器会禁止跨域,及其引起的发散性学习
qq_35271556的博客
05-16 1万+
浏览器的跨域问题以及解决方案 浅谈CSRF攻击方式 参考了上面的大神们的文章,以下是自己的总结。 1、什么是跨域 跨域的产生来源于现代浏览器所通用的‘同源策略’,所谓同源策略,是指只有在地址的: 1. 协议名 2. 域名 3. 端口名 均一样的情况下,才允许访问相同的cookie、localStorage或是发送Ajax请求等等。若在不同源的情况下访问,就称为跨域。 2、为什么浏...
服务中怎么处理禁止跨域
06-08
如果禁止跨域访问,那么微服务架构中的不同服务之间将无法相互调用。但是在某些情况下,确实需要禁止跨域访问,比如在一些安全性较高的环境中。此时,可以考虑以下措施: 1. 使用网关服务:在微服务架构中,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值