跨域请求

最新推荐文章于 2024-06-22 17:15:34 发布
最新推荐文章于 2024-06-22 17:15:34 发布
阅读量423 收藏 1
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harryhare/article/details/80714473
版权

问题描述

  • 浏览器在进行跨域请求前,会像服务器发送option请求
  • 浏览器会根据option的reponse的 header 中的信息判断跨域请求是否合法
    • 主要是 Access-Control-Allow-Origin 和当前网页的url 是否match(和 xmlHttpRequest请求的url 没有关系)
    • Access-Control-Allow-Credentials 决定跨域请求是否可以携带cookie等信息。
      • 如果是false,则 xmlhttpRequest.withCredentials=true 时会报错
      • 如果没有跨域 withCredentials默认为true,跨域则默认为false
      • 跨域请求携带的cookie是目标domain的cookie,而不是当前页面的cookie
      • 除了这个设置外,cookie本身的samesit属性也会影响是否可以在xhr中使用cookie
        一个跨域的post请求能拿到cookie至少有三个条件
        1. cookie 的 samesite 为 None
        2. option response 中 Access-Control-Allow-Credentials:true
        3. js 调用 xhr请求时xhr.withCredentials=true

所以总结下:
跨域问题就是如何绕开浏览器 对 xmlHttpRequest 的限制。

后端方案

要被访问的那个服务器,在返回头中加入:
(比如我想写个插件,把抓到的数据存到我自己的服务器上,就在我的服务器的返回头中加入)

//不同语言不同,仅供参考
header("Access-Control-Allow-Origin: *");
//或者直接加入网址
header("Access-Control-Allow-Origin:http://www.otherweb.com");

这里几个地方需要注意

  • Access-Control-Allow-Origin, 只允许填入一个值似乎,所以如果想允许多个值,可以根据 origin 字段动态设置
    w.Header().Add("Access-Control-Allow-Origin",req.Header.Get("Origin"))
  • 除了Access-Control-Allow-Origin外,还有一些其他跨域 header 可以设置,目的都是为了限制跨域请求,比如Access-Control-Allow-Headers 规定了跨域请求允许的header, 也就是此时除了不能是常见的不能设置的header, 还要满足header 要在Access-Control-Allow-Headers 出现

前端解决方案

  • jsonp,例子以后补上吧。。。
    • 虽然 jsonp 可以跳过浏览器的检测,但是服务端依然可以通过验证referer字段,拒绝跨域的 GET 请求
      • origin 和 referer ,和host 的差别
        • origin 只在跨域时才会发,并且只有host
        • referer 则一直会有,并且包括请求的完整路径
        • host 目标 url 的host,origin/referer都是源的
        • 这几个header都是js-xmlHttpRequest不能手动设置的
        • 比如,我在blog的页面,打开console,发送跨域请求到我本地服务器,那么几个header是这样的
          Host:		localhost:8080
Origin:		https://blog.csdn.net
Referer:	https://blog.csdn.net/harryhare/article/details/80778066
  • 油猴脚本,脚本运行时会弹出窗口,让用户选择是否允许跨域请求。从而跳过浏览器对跨域请求的阻止。
    //@grant        GM_xmlhttpRequest
GM_xmlhttpRequest({
    method: "GET",
    url: "http://asdf.com/asdf",
    onload: myonload,
});

参考:
http://www.ruanyifeng.com/blog/2016/04/cors.html
https://www.jianshu.com/p/89a377c52b48
https://blog.csdn.net/hehexiaoxia/article/details/61916737

harryhare
关注
专栏目录
油猴脚本实现跨域请求或下载文件 tampermonkey
weixin_34247155的博客
02-03 1612
油猴脚本实现跨域请求或下载文件 标签(空格分隔): js tampermonkey 油猴 1.介绍 在以往的XmlHttprequest对象中想要跨域请求基本上就是靠jsonp,油猴脚本可以实现自定义网页脚本,但是他同样无法避免的要被CORS阻止。这篇文章就是讲解如何使用@grant注解实现使用油猴自带的GM_xmlhttpRequest发送跨域请求。 2.什么是油猴脚本 油猴脚本是一个浏览器插...
tampermonkey(油猴)跨域发送请求
pal97的博客
05-13 3565
tampermonkey发送请求可以跨域,比原生js方便很多。 制作学习积分外挂时,可以直接获取积分,根据积分情况判断下一步操作。 GM_xmlhttpRequest({ method: "get", url: "https://xx/open/api/score/today/queryrate", headers: { "Content-Type": "applicat
Tampermonkey油猴 跨域请求下载图片示例
最新发布
SlowFeather's blog
06-22 396
需要用油猴采集并下载一个网站的图片,直接下下不了,搜了一下,是禁止跨域,使用CORS Unblock也不行,所以使用油猴自带的GM_xmlhttpRequest发送跨域请求
油猴脚本】GM_xmlhttpRequest跨域请求初探
热门推荐
凉某的博客
11-11 3万+
油猴脚本】GM_xmlhttpRequest跨域请求初探缘起试题抓取问题GM_xmlhttpRequest用法设置 缘起 公司叫我们去考金蝶,并要求认证。金蝶官网提供了一些试题,基本上每个视频学习完成后就有对应的试题测验一下。 观察后发现,金蝶的网页做得还是很有规律的,试题与视频都是一一对应的: 教学视频: http://cplatform.kingdee.com/templates/cours...
油猴脚本跨域测试
wpyok168的博客
11-26 1855
// ==UserScript== // @name 油猴脚本跨域测试 // @namespace http://tampermonkey.net/ // @version 0.1 // @description try to take over the world! // @author You // @match https://www.baidu.com/ // @icon https://www.google.com/s2/
跨域请求(个人笔记)
Garry
06-28 3722
1、什么是跨域请求? 说明:使用ajax获取数据的时候,如果当前界面的地址和所需要请求的服务器的地址不一样,不一样的判断依据是:协议、域名、端口。任意一种不一样,就判定为跨域请求。 例如:当前端页面的请求地址是:http://127.0.0.1:5500/index.html 页面按钮的请求路径是:http://127.0.0.1:9999/index_data 2、跨域请求的表现 通过ajax请求,获取不到后台传给前端的数据。 3、获取不到数据的原因 原因:浏览器不将数据给ajax请求中的succes
详解AngularJS如何实现跨域请求
11-25
AngularJS,作为一个强大的前端框架,提供了多种方式来实现跨域请求。本文将详细讲解AngularJS中的$http服务如何实现跨域请求。 首先,我们来看AngularJS中的核心服务$http。它是一个基于XMLHttpRequest对象(XHR)...
Flask实现跨域请求的处理方法
09-20
本文将详细说明如何在Flask中处理跨域请求的几种方法。 首先,我们可以使用一个叫做flask-cors的扩展库来处理跨域请求。安装flask-cors的方法是通过pip,使用命令`pip install flask-cors`。flask-cors库提供了灵活...
js跨域请求数据的3种常用的方法
11-24
JavaScript中的跨域请求是Web开发中的一个重要话题,由于同源策略的限制,浏览器不允许JavaScript从一个源(域名、协议和端口的组合)获取另一个源的数据。为了解决这个问题,开发者通常采用以下三种常见的跨域请求...
tomcat服务器解决跨域所需jar包
04-04
tomcat服务器解决跨域问题所需jar包 cors-filter-1.7.jar java-property-utils-1.9.jar
详解Spring Boot 2.0.2+Ajax解决跨域请求的问题
08-26
"详解Spring Boot 2.0.2+Ajax解决跨域请求的问题" 知识点1:什么是跨域请求跨域请求是指浏览器从一个域名下的网页去请求另一个域名下的资源时,会出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
Springboot解决ajax+自定义headers的跨域请求问题
10-16
这导致了在处理跨域请求时的一些挑战,尤其是在使用AJAX和自定义headers时。Spring Boot作为流行的Java后端框架,提供了优雅的解决方案来处理这类问题。 首先,我们来理解什么是跨域。跨域是指一个域下的文档或脚本...
tampermonkey如何做到跨域的?不会被黑客利用吗?
m0_57236802的博客
06-08 595
例如,用户脚本不能直接访问页面的JavaScript环境,也不能直接访问浏览器的一些敏感API。Tampermonkey的跨域请求只能在用户明确允许的情况下运行,而且只能由用户在他们自己的浏览器上安装的用户脚本使用。用户应该小心选择他们安装的用户脚本,并确保他们来自可信的源。Tampermonkey可以执行跨域请求是因为它作为浏览器的一个扩展运行,因此它不受到同源策略的限制。总的来说,Tampermonkey提供了一种强大的工具来定制和增强网页的功能,但是这种能力应该以负责任的方式使用。
ie浏览器设置允许跨域_ieTester允许跨域浏览窗口和框架
weixin_39835607的博客
12-19 1348
在用 ieTester 测试网页时,每次打开 ie6 总是不断的弹出 Allow sub-frames to navigate across different domains?,意思是是否允许跨域浏览窗口和框架,弹出次数之多让人受不了。为什么会弹出这样的提示?或许您已经注意到,以前的版本不会弹出,自 0.4.12 版本后就会弹出,同时也多了几个广告。其实正是因为这些广告要求跨域浏览,而当前 ie...
油猴脚本Tampermonkey初体验
小哈里的博客
06-09 4079
1、安装 Chrome 应用商店, Tampermonkey。 Crx4Chrome插件:Tampermonkey 软件官网:Tampermonkey 2、设置 主要是占坑待填,,其实也没啥好设置的(逃 3、脚本 一些比较常用的下载渠道: Greasy Fork:支持中文,按照今日安装、总安装数、得分、创建日期等的排序方式给出脚本列表,可按脚本生效的网站过滤,每一脚本都有中文介绍...
谷歌油猴插件配合window.name实现数据跨域传输
weixin_42262795的博客
12-22 1317
跨域 :我进来了--嘿!我又出来了 code2.html <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <meta name="viewport" content="width=device-width, initial-scale...
跨域之同源策略 Same-origin policy
weixin_34347651的博客
11-13 198
同源策略是浏览器中最基本的隔离潜在恶意文件的安全策略,他限制了来自不同源(origin)的文档或脚本之间的相互作用。 何谓同源 在跨域之URL中介绍过一个URL的标准格式如下: 协议类型://服务器地址(必要时需加上端口号)/路径/文件名 对比URL的标准格式,这里的同源就是指: 协议类型相同(protocol) 服务器地址相同(host,也可以叫域名相同) 端口相同(p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值