跨域问题

最新推荐文章于 2023-05-11 11:58:04 发布
最新推荐文章于 2023-05-11 11:58:04 发布
阅读量184 收藏
点赞数
分类专栏: 前端 文章标签: 同源策略 跨域问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaer_lee/article/details/88180570
版权

 

要解决跨域问题先来看看什么是同源策略。

同源策略

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。

下表给出了相对http://store.company.com/dir/page.html同源检测的示例:

没有同源策略限制的两大危险场景

浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。试想一下没有这样的限制上述两种动作有什么危险。

没有同源策略限制的接口请求

有一个小小的东西叫cookie大家应该知道,一般用来处理登录等场景,目的是让服务端知道谁发出的这次请求。如果你请求了接口进行登录,服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中,服务端就能知道这个用户已经登录过了。知道这个之后,我们来看场景:

  1. 你准备去清空你的购物车,于是打开了买买买网站,然后登录成功,一看,购物车东西这么少,不行,还得买多点。
  2. 你在看有什么东西买的过程中,你的好基友发给你一个链接,一脸yin笑地跟你说:“你懂的”,你毫不犹豫打开了。
  3. 你饶有兴致地浏览着,谁知这个网站暗地里做了些不可描述的事情!由于没有同源策略的限制,它向发起了请求!聪明的你一定想到上面的话“服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中”,这样一来,这个不法网站就相当于登录了你的账号,可以为所欲为了!如果这不是一个买买买账号,而是你的银行账号,那……

这就是传说中的CSRF攻击浅谈CSRF攻击方式。

看了这波CSRF攻击我在想,即使有了同源策略限制,但cookie是明文的,还不是一样能拿下来。于是我看了一些cookie相关的文章聊一聊 cookie、Cookie/Session的机制与安全,知道了服务端可以设置httpOnly,使得前端无法操作cookie,如果没有这样的设置,像XSS攻击就可以去获取到cookieWeb安全测试之XSS;设置secure,则保证在https的加密通信中传输以防截获。

没有同源策略限制的Dom查询

1.有一天你刚睡醒,收到一封邮件,说是你的银行账号有风险,赶紧点进去改密码。你吓尿了,赶紧点进去,还是熟悉的银行登录界面,你果断输入你的账号密码,登录进去看看钱有没有少了。
2.睡眼朦胧的你没看清楚,平时访问的银行网站是yinhang.com,而现在访问的是yinghang.com,这个钓鱼网站做了什么呢?

// HTML
<iframe name="yinhang" src="www.yinhang.com"></iframe>
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
const iframe = window.frames['yinhang']
const node = iframe.document.getElementById('你输入账号密码的Input')
console.log(`拿到了这个${node},我还拿不到你刚刚输入的账号密码吗`)


由此我们知道,同源策略确实能规避一些危险,不是说有了同源策略就安全,只是说同源策略是一种浏览器最基本的安全机制,毕竟能提高一点攻击的成本。其实没有刺不穿的盾,只是攻击的成本和攻击成功后获得的利益成不成正比。

 

同源策略限制下接口请求的正确打开方式

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)跨域资源共享 CORS 详解。看名字就知道这是处理跨域问题的标准做法。

服务端加上Access-Control-Allow-Origin: * 搞定。

同源策略限制下Dom查询的正确打开方式

用这个,window.postMessage() 是HTML5的一个接口,专注实现不同窗口不同页面的跨域通讯。

oldmee
关注
专栏目录
GeoServer跨域问题.zip
10-21
在Web应用开发中,跨域问题是一个常见的挑战,特别是在利用Ajax进行异步数据交互时。由于浏览器的安全策略,不同源(域名、协议或端口)之间的请求会被阻止,除非服务器允许这些跨域请求。在GeoServer的环境中,当...
geoserver跨域问题jar包
06-25
标题中的“geoserver跨域问题jar包”指的是在使用GeoServer时遇到的跨域(Cross-Origin)限制问题。GeoServer是一款开源的地理信息系统(GIS)服务器,它允许用户发布地图服务并与其他Web应用程序交互。当不同的源...
前后端对接接口时候遇到的跨域问题
u012146058的博客
04-04 2740
什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资源。比如从http://www.baidu.com/页面去请求google.com的资源。跨域的严格一点的定义是:只要协议,域名,端口有任何一个的不同,就被当成是跨域。 之所以要限制跨域访问,是因为如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题,比如下面的两种跨域攻击: AJAX同源策略 用户访...
跨域cookie
醉逍遥neo的博客
01-29 2211
为什么会出现跨域?出于浏览器的同源策略限制,浏览器会拒绝跨域请求。什么情况下出现跨域?不同源就会跨域。同源即:协议、域名、端口号都相同。任意一项不同就会跨域。例如 https://127.0.0.1:8000为什么会有跨域需求?项目工程服务化后,不同职责的服务分散在不同的工程中,往往这些工程的域名是不同的,但一个需求可能需要对应到多个服务,这时便需要调用不同服务的接口,因此会出现跨域跨域只是浏览器的限制,服务器没有跨域问题
nginx反向代理跨域问题 SET-COOKIES失效 SESSIONID失效
xsjCoding的博客
07-14 4563
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 https://blog.csdn.net/Henry__jia/article/details/107041453 欢迎使
nginx 解决跨域cookie问题
lanranguidao的博客
09-11 2万+
问题背景:               业务上线以后,前端js出现了跨域问题,域名1.sss.com 跨域访问 2.sss.com/bond/的url,浏览器页面产生问题,leader让运维解决 解决办法如下:              在2.sss.com的nginx配置项中,添加如下请求             if ($http_origin ~* (http://1\.s
跨域时怎么处理 cookie
hyqhyqhyqq的博客
05-11 1410
结果很意外,请求的响应被浏览器拦截了,浏览器还贴心的在console上抛出了一个错误。这里要注意,浏览器不是在请求阶段就对请求进行拦截,而是正常发出请求,拿到服务端的响应之后,开始查看响应header里面有没有Access-Control-Allow-Origin这个header,如果没有,响应的结果就不会到js那里去。登录是基于session的,也就是说,登录成功后,server会通过set-cookie,将cookie设置到浏览器中,这样,下次访问同源下的api时,cookie就会被带上。
详解Vue 开发模式下跨域问题
08-30
解决 Vue 开发模式下跨域问题 在 Vue 开发模式下,跨域问题是我们经常遇到的问题。跨域问题是指在不同的域名之间进行资源请求时,出现的安全限制问题。解决跨域问题是非常重要的,因为它会影响我们项目的正常运行。...
C#浏览器提示跨域问题解决方案
08-18
C#浏览器提示跨域问题解决方案 跨域问题是指在Web浏览器中,因为安全性限制,不能从一个域名下的页面访问另一个域名下的资源,这是浏览器的同源策略(Same-origin policy)所致。跨域问题在实际开发中经常遇到,...
Java服务器端跨域问题解决方案
08-25
Java服务器端跨域问题解决方案 Java 服务器端跨域问题解决方案是指在 Java 服务器端如何解决跨域问题的解决方案。跨域问题是指在 Ajax 请求中,因为安全限制,浏览器不能将数据发送到不同源(domain、protocol 或 ...
接口的跨域问题
m0_52810430的博客
04-22 6581
接口的跨域问题 1.解决接口跨域问题的方案主要有两种: ​ ① CORS(主流的解决方案,推荐使用) ​ ② JSONP(有缺陷的解决方案:只支持 GET 请求) 2.使用 cors 中间件解决跨域问题的步骤: ​ cors 是 Express 的一个第三方中间件。通过安装和配置 cors 中间件,可以很方便地解决跨域问题。 ​ 使用步骤分为如下 3 步: ​ ①运行 npm install cors 安装中间件 ​
关于请求跨域及response中Set-Cookie无效问题记录
热门推荐
a317560315的博客
10-30 2万+
最近开发一个项目,项目前后端完全分离,即 页面放在192.168.0.105:8080中, 服务端放在192.168.0.105:57500中, 这样前台发送请求后会出现跨域问题,针对跨域问题,解决思路为处理响应,步骤如下 1.定义一个过滤器,在web.xml中配置 ajaxFilter com.tbms.filter.AjaxFilter aja
【分享】记一次前端跨域请求后台无法set-cookie经历
瞎带节奏的博客
10-13 1万+
cookie都设不了,接下来还怎么开发?
浏览器跨域问题解决方案
weixin_34232363的博客
07-21 113
一,概述 为什么会出现跨域问题 同源策略是浏览器安全的基石,首先由NetScape 公司引入浏览器,目前所有浏览器都实行这个政策。同源策略是一种约定,所谓同源策略,指的是浏览器对不同源的脚本或文本的访问进行限制,例如源A的js 不能读取和设置引入的源的元素属性。只有同协议 同域名 同端口 下才能访问。因为浏览器的同源策略的存在,才有...
跨域请求解决方案及详解
weixin_46178852的博客
07-28 5725
1. 什么是跨域        跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。        同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 (因为浏览器的同源策略导致了跨域,就是浏览器在搞事情
hexo admin注意事项
Talk is cheap,show me the code.
02-22 1574
这是一个坑 安装方式我就不说了,就是按照网上说的那样,我主要说一下Deploy中的脚本怎么配置,网上都是类似这种 ./xxxx.sh 完了我也傻不拉几的按照这种方式写,后来发现这就是一个脚本,你不用deploy就用命令行运行也是一样的, admin只是一个写markdown的工具,部署只是提供给你一个快捷键罢了,问题是我是Windows,居然也用.sh真是尴尬,改成.bat路径前面也不需...
关于子窗口与父窗口传值问题
Talk is cheap,show me the code.
03-21 303
说白了就是window.dialogArguments语句的使用 关键问题是IE内核与非IE内核其使用的语句是不一样的 IE内核很简单,直接调用父窗口创立的属性即可 非IE内核就有点复杂了,需要通过document对象获取父窗口的组件ID才行 在判断浏览器内核的过程中我又碰到了一个棘手的问题,本来通过浏览器信息中的MSIE就可
websocket
Talk is cheap,show me the code.
04-04 226
现在,很多网站为了实现推送技术,所用的技术都是 Ajax 轮询。轮询是在特定的的时间间隔(如每1秒),由浏览器对服务器发出HTTP请求,然后由服务器返回最新的数据给客户端的浏览器。这种传统的模式带来很明显的缺点,即浏览器需要不断的向服务器发出请求,然而HTTP请求可能包含较长的部,其中真正有效的数据可能只是很小的一部分,显然这样会浪费很多的带宽等资源。 HTML5 定义的 WebSock...
axios 跨域问题
最新发布
09-29
跨域问题是指当一个请求的协议、域名、端口与当前页面的URL不同,就会发生跨域。在Vue中使用Axios解决跨域问题可以通过设置代理来实现。在Nuxt中使用Axios解决跨域问题需要安装 @nuxtjs/axios 和 @nuxtjs/proxy 两个模块,并进行相应的配置。同时,可以通过简单发起一个请求来验证跨域问题是否解决。 下面是解决跨域问题的步骤: 1. 在Vue中使用Axios解决跨域问题: - 引入Axios库:首先,需要在项目中引入Axios库。 - 配置代理:在项目的配置文件中设置代理,将请求转发到目标服务器,以解决跨域问题。 2. 在Nuxt中使用Axios解决跨域问题: - 安装依赖:使用命令行工具安装 @nuxtjs/axios 和 @nuxtjs/proxy 两个模块。 - 配置代理:在Nuxt的配置文件中设置代理,将请求转发到目标服务器,以解决跨域问题。 3. 简单发起一个请求:在代码中使用Axios发起一个请求,可以使用高德地图提供的天气接口来测试跨域是否解决。 请注意,以上是解决跨域问题的一般步骤,具体的实现方式可能会因项目环境的不同而有所差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值