如何设置跨域隔离启用 SharedArrayBuffer

最新推荐文章于 2024-05-26 20:58:11 发布
最新推荐文章于 2024-05-26 20:58:11 发布
阅读量1.9k 收藏 4
点赞数
文章标签: java 后端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jcc4261/article/details/127712265
版权

需求

最近在研究 ffmpeg WebAssembly 版本在网页运行的工具,发现使用到了 SharedArrayBuffer,涉及到跨域隔离的问题,需要设置两个 HTTP 消息头启用跨域隔离:

  • Cross-Origin-Opener-Policy 设置为 same-origin(保护源站免受攻击)
  • Cross-Origin-Embedder-Policy 设置为 require-corp(保护源站免受侵害)

不同的服务有不同的设置方法,这里简要介绍下。

解决

方案一

对于前端开发来说,本地开发阶段,可以起一个 Node.js 服务,用于本地开发实时调试,比如我用 Express.js (Node.js 后端框架)

// Add headers
app.use(function (req, res, next) {
    // 设置响应头
    res.header("Cross-Origin-Embedder-Policy", "require-corp");
    res.header("Cross-Origin-Opener-Policy", "same-origin");

    // Pass to next layer of middleware
    next();
});

方案二

部署到服务器上之后,一般会用 nginx 做代理服务器,这时候可以给 nginx 配置加两个响应头

nginx 配置

location / {
    # 设置响应头
    add_header 'Cross-Origin-Embedder-Policy' 'require-corp';
    add_header 'Cross-Origin-Opener-Policy' 'same-origin';
}

方案三

如果只是临时开启简单体验下 SharedArrayBuffer 这个功能,可以在启动谷歌浏览器时加参数。

以 Windows 为例,桌面上找到 chrome 图标,复制一个出来,右击 Chrome 图标 – 属性 – 目标,将原来的

"C:\Program Files\Google\Chrome\Application\chrome.exe"

改成

"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-features=SharedArrayBuffer

这样用新的图标打开谷歌浏览器就是开启了 SharedArrayBuffer,本地测试用

注意

一旦开启了跨域隔离,可能会对您网站上的其它跨域资源产生影响,比如 Adsense 广告,暂时也没有很好的兼容办法,需要自己做一下取舍。

java技术媛
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
ASP.NET MVC中设置跨域访问问题
10-18
以下是如何在ASP.NET MVC中设置跨域访问的详细步骤: 1. **理解跨域请求**: 跨域请求是指一个域下的文档或脚本尝试请求另一个域下的资源。例如,一个运行在www.example1.com上的网页尝试通过Ajax请求获取...
由一个报错引发的浏览器跨域隔离探索
A_991128a的博客
02-24 1320
1.SharedArrayBuffer是用来和线程之间进行数据交换访问的高效方法,被大量应用,例如WebAssembly 就使用 Worker 模拟了多线程。SharedArrayBuffer等可以用来当作高精度的计时器,为Spectre漏洞带来了方便。2.为了降低Spectre漏洞带来的危害,SharedArrayBuffer等支持高精度时间计算的API及可能方便为spectre漏洞提供内存共享的API都需要在跨域隔离的状态下才能启用
跨域隔离
qq_34754747的博客
04-14 4605
跨域隔离指南 一、跨域隔离介绍 https://web.dev/coop-coep/ 1、 起因: 一些Web API会增加诸如Spectre之类的旁道攻击的风险,为了减轻这种风险,浏览器提供了一种基于选择加入的隔离环境,称为跨域隔离。在跨域隔离状态下,该网页将能够使用以下特权功能: SharedArrayBuffer WebAssembly线程必需。这可从Android Chrome 88中获得。桌面版本当前默认情况下是借助Site Isolation启用的,但是将
使用FFmpeg 【报ReferenceError: SharedArrayBuffer is not defined 】如何解决
最新发布
weixin_42429220的博客
05-26 389
在讨论SharedArrayBuffer ,根据词意上:“共享”、"阵列 "和 “缓冲区”。SharedArrayBuffer 是一种 JavaScript 对象,用于在多线程环境中共享内存。然而,由于共享内存的特性,它可能导致安全漏洞。攻击者可以通过操纵共享内存来执行恶意代码,因此大部分浏览器对其进行了限制。数组是一种数据结构,在编程中用来存储由不同数据类型(字符串、布尔值、数字和对象)组成的数据元素。缓冲区是内存存储的一部分,用于在发送或接收使用前暂时存储数据。
个人用安全防护配置笔记
皮蛋很白的博客
05-05 725
XSS 防护 输入输出过滤 xss.js - HTML 转义 encodeURI or encodeURIComponent - url 地址转义 Cookie 设置 HttpOnly Cookie 设置 HttpOnly 禁止通过 JS 方式读取 Cookie。 Content-Security-Policy 内容安全策略 CSP(Content-Security-Policy) 本质上是开发者可以自定义的白名单制度,可以告诉浏览器可以加载和执行哪些外部资源。 有两种方式可以启用 CSP: 设置 H
解决django4.0 跨域报 Cross-Origin Opener Policy错误
weixin_55949482的博客
08-27 8963
【代码】解决django4.0 跨域报 Cross-Origin Opener Policy错误。
海康威视h5player.js 2.0版 跨域隔离
01-19
想要启用跨域隔离”,整个页面必须是在,并且需要在web服务器上设置全局https响应头(Response Headers),所有网页资源都需要加上跨域隔离头Cross-Origin-Embedder-Policy:require-corp;Cross-Origin-Opener-...
Spring Boot设置支持跨域请求过程详解
08-18
主要介绍了Spring Boot设置支持跨域请求过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot框架RESTful接口设置跨域允许
08-25
SpringBoot 框架 RESTful 接口设置跨域允许 SpringBoot 框架 RESTful 接口设置跨域允许是为了解决浏览器的同源策略限制,实现跨域请求的目的。同源策略是浏览器对 JavaScript 施加的安全限制,指协议、域名、端口都...
Spring前后端跨域请求设置代码实例
08-18
以下将详细讲解两种在Spring中设置跨域请求的方法。 1. 配置类设置 创建一个名为`CorsConfig`的配置类,并使用`@Configuration`注解标记它为Spring的配置组件。在这个类中,你可以定义一个`CorsConfiguration`对象...
vue下跨域设置的相关介绍
08-29
本篇文章将深入探讨如何在Vue项目中设置跨域。 首先,了解跨域的基本概念是必要的。跨域是指浏览器出于安全考虑,限制了JavaScript脚本对不同源(协议+域名+端口)的资源进行请求。在开发阶段,我们通常需要与不同...
Dubbox跨域请求、Cookie设置
04-16
【标题】"Dubbox跨域请求、Cookie设置"所涉及的知识点主要集中在分布式服务框架Dubbo的跨域问题处理和Cookie的配置上。Dubbox是阿里巴巴开源的一个基于Dubbo的扩展,提供了更多的特性,如REST支持、Zookeeper注册...
Springboot CORS跨域设置.md
03-25
Springboot CORS跨域设置
IE浏览器跨域设置.docx
06-24
### IE浏览器跨域设置详解 #### 一、引言 随着网络应用的不断发展与普及,浏览器作为连接用户与互联网世界的桥梁,在日常生活中扮演着至关重要的角色。而在浏览器使用过程中,跨域问题一直是开发者和用户面临的一...
SpringSecurity------HTTP Response Headers(四)
豢龙先生
06-15 2003
Spring Security提供了一组与安全性相关的默认HTTP响应头: 注意:Strict-Transport-Security 只适用于HTTPS Requests如果一个登录用户访问了敏感信息,然后登出,我们不希望非法用户通过点击回退按钮去浏览敏感信息,为了保护用户的内容安全,Spring Security默认禁用缓存。Cache Control请求头需要如下设置: 如果应用程序提供了自己的缓存控制头,Spring Security的Cache Control默认设置就会失效,这样应用程序就可以缓存
XS-Leaks(跨站点泄漏)攻击和预防
allway2的博客
09-05 720
但可以说,防止与缓存相关的 xsleaks 向量的最有效方法是完全禁用您网站的缓存。知道浏览器是否在某处导航(例如,重定向),通常可以推断出关于用户的数据。然后,攻击者可以创建一个恶意网站,对“diabetes” URL 的请求进行计时,并确定用户是否患有糖尿病。当用户访问网站时,这些网站的资源通常会被缓存并存储在用户的磁盘上,因此不必再次下载。如果网站获得窗口句柄,则来自一个来源的网站可以限制访问另一个来源的窗口。不幸的是,基于时间和错误的 xsleak 变体可以利用这一点并确定用户之前是否访问过网站。
uniapp项目设置跨域
01-11
在uniapp项目中设置跨域可以通过配置devServer来实现。你可以在项目的vue.config.js文件中添加以下代码来设置跨域: ```javascript module.exports = { devServer: { proxy: { '/api': { target: 'http://your-backend-api.com', changeOrigin: true, pathRewrite: { '^/api': '' } } } } } ``` 上述代码中,我们使用了proxy选项来配置跨域。其中,`/api`是前端请求的接口路径,`http://your-backend-api.com`是后端API的地址。通过设置`changeOrigin`为true,可以实现跨域请求。`pathRewrite`选项可以用于重写接口路径,将以`/api`开头的部分替换为空字符串。 请注意,以上代码是一个示例,你需要根据你的实际情况修改`target`和`pathRewrite`的值。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值