跨域、同源策略

最新推荐文章于 2024-09-18 15:50:42 发布
最新推荐文章于 2024-09-18 15:50:42 发布
阅读量239 收藏
点赞数
分类专栏: 学习笔记 文章标签: 跨域 同源 ajax javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinyidong/article/details/115693862
版权
本文介绍了浏览器的同源策略,它是保障网络安全的基础,规定了只有同源的资源才能相互交互。同源策略包括协议、域名和端口必须一致。接着,文章讨论了AJAX跨域的问题,通过示例展示了浏览器在接收到资源前会检查其来源,导致跨域请求被阻止。针对跨域问题,提出了JSONP、WebSocket和CORS(重点讲解了CORS的简单和非简单请求)等解决方案。
摘要由CSDN通过智能技术生成

1、浏览器同源策略

浏览器最核心&最基本的安全功能;若无此策略,不同源的网站可以获取到cookie等,互联网就无安全可言;

同源三要素:

  • 协议相同
  • 域名相同
  • 端口相同

eg:

基于:http://www.example.com/dir/page.html

URL结果原因
http://www.example.com/dir2/other.html同源只有路径不同
http://www.example.com/dir/inner/another.html同源只有路径不同
https://www.example.com/secure.html失败协议不同
http://www.example.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://www.baidu.com/dir/other.html失败主机不同

2、AJAX如何规避跨域

2.1、AJAX跨域请求

本地用nginx或者openresty起一个服务,然后打开火狐或者谷歌浏览器,在console中输入:

$.ajax({                       
        type:"get",
        url:"http://localhost:80",
        async:true,
        success:function(res){
            console.log(res)
        },
        error:function(){
            console.log("error")
        }
    });

 返回结构如下:

已拦截跨源请求:同源策略禁止读取位于 http://localhost:5000/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

查看nginx或者openresty日志,服务端有请求记录,说明:浏览器在接收加载资源之前对其来源进行了检查,然后限制加载,而不是通过对发出的请求进行检查是否同源,然后决定是否对该请求加以限制来实现。

2.2、解决方案

  • JSONP
  • WebSocket
  • CORS(Cross-Origin Resource Sharing)

2.2.1、CORS

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

  • 简单请求:需满足一下条件

(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

 根据服务端返回中的Access-Control-进行处理。

  • 非简单请求:不同时满足上述请求

 

jinyidong
关注
专栏目录
vue+react 请求不到接口数据-ERROR:跨源请求:同源策略禁止读取位于 http://localhost:8888/department/findAll 的远程资源。(原因:CORS
lavendeyan的博客
05-25 794
报错: 已拦截跨源请求:同源策略禁止读取位于 http://localhost:8888/department/findAll 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 配置: 前端: axios.js // 1. axios的默认配置 axios.defaults.baseURL = "http://localhost:8888" axios.defaults.headers["Content-Type"]= "applicatio
同源策略跨域访问
qgw_2000的专栏
05-03 3762
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
火狐浏览器同源策略禁止解决方案
最新发布
better1166的博客
09-18 890
Firefox火狐浏览器控制台,提示:已拦截跨源请求。
后端解决跨域问题:已拦截跨源请求:同源策略禁止读取位于 http://localhost:8888/user/page?
weixin_46211609的博客
01-16 1118
后端解决跨域问题:已拦截跨源请求:同源策略禁止读取位于 http://localhost:8888/user/page?pageNum=1&pageSize=10&username=&email=&address= 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。状态码:200。
拦截跨源请求:同源策略禁止读取位于 http://localhost:8080/*的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)。
青春不流名
05-04 3万+
拦截跨源请求:同源策略禁止读取位于 http://localhost:8080/*的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。
拦截跨源请求:同源策略禁止读取位于 http:**** 的远程资源。(原因:CORS 头缺少 ‘Access-Control-A
徊忆羽菲
03-12 1万+
Access to fetch at 'https://www.baidu.com/' from origin 'http://www.baidu.com' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Have the server send the header with a valid
同源策略跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
跨域 同源策略是什么
04-25
跨域同源策略是Web开发中的两个重要概念。 跨域(Cross-Origin)指的是在浏览器中,当一个网页的脚本试图访问不同源(域名、协议或端口)的资源时,就会发生跨域请求同源策略(Same-Origin Policy)是浏览器的...
跨域 同源策略 CORS漏洞
weixin_42299862的博客
09-09 1001
https://blog.csdn.net/qq_38128179/article/details/84956552 一、什么是跨域 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB 【2】无法接触非同源网页的 DOM 【3】无法向非同源地址发送 AJAX 请求 二、为什么会出现跨域问题:SOP同源策略 出于浏览器的同源策略限制。 同...
ArcGIS Server API for JavaScript调用错误:已阻止跨源请求:同源策略禁止读取位于.........
weixin_34248118的博客
03-09 446
已阻止跨源请求:同源策略禁止读取位于 http://server.arcgisonline.com/ArcGIS/rest/services/ESRI_StreetMap_World_2D/MapServer?f=json 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 Firebug中显示如下:   原因竟然是在代码中创建图层时,u...
拦截跨源请求:同源策略禁止读取位于 file:///c:/Users/%E6%9D%8E%E5%AE%B6%E8%B1%AA/Desktop/test/data.json 的远程资源。
qq_63170044的博客
04-07 1331
出现这个问题是因为浏览器的同源策略(Same-Origin Policy)限制了从一个源(origin)加载的文档或脚本与另一个源的资源进行交互。同源策略是浏览器的一个安全特性,用于防止恶意脚本访问和修改其他网站的内容。在您的例子中,您正在尝试通过 Fetch API 从本地文件系统(file:/// 协议)加载一个 JSON 文件。由于 Fetch API 是基于 HTTP 的,而 file:/// 协议并不是 HTTP,因此浏览器将阻止这种跨源请求。
拦截跨源请求:同源策略禁止读取位于 http://xxx...aliyuncs.com/ 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)
H_define的博客
05-08 3142
进入阿里云官网,进入OSS控制台,在Bucket 列表中选择你使用的Bucket。点击左侧的数据安全,跨域设置,创建跨域规则。原因:在阿里云终端没有设置跨域规则。再次尝试上传文件,成功。
【极简 亲测】已拦截跨源请求:同源策略禁止读取位于....的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)
Yonggie的博客
07-19 3614
可以用插件或者配置解决
拦截跨源请求:同源策略禁止读取位于 file:///modify-table 的远程资源。(原因:CORS 请求不是 http)续上一篇文章的解决方法
qq_63170044的博客
06-24 846
这个错误是由于CORS(跨源资源共享)策略导致的,因为浏览器不允许前端代码从file:///协议访问。为了避免这个问题,你需要使用HTTP服务器来提供HTML文件。你可以使用Node.js中的Express来同时提供HTML文件和处理API请求。以下是完整的示例,包括提供HTML文件的部分。
解决浏览器出现的【已拦截跨源请求:同源策略禁止读取】问题
热门推荐
知而有涯,学而无涯
02-06 6万+
问题产生:已拦截跨源请求:同源策略禁止读取 在网页与接口不处于同一个服务器的前提下(前端代码放在A服务器,接口牌B服务器),ajax请求接口的时候,浏览器会为了安全问题,在接口返回数据的时候,对响应头进行检验。如果响应头中没有Access-Control-Allow-Origin:*和Access-Control-Allow-Headers:Origin, X-Requested-With
CORS预检响应未成功,已拦截跨源请求:同源策略禁止读取位于
u011511086的专栏
07-16 6545
拦截跨源请求:同源策略禁止读取位于 http://47.55.32.128:8081/abj_api/Login/GetRoleFunctions?roleId=800 的远程资源。(原因:CORS 请求未能成功)。 web.config配置 <system.webServer> <modules runAllManagedModulesForAllRequests="true"> <remove name="WebDAVModule" />
拦截跨源请求:同源策略禁止读取位于 http://....../test.do 的远程资源。(原因:CORS 头缺少 'Access-Control-Allo
my_miuye的博客
03-30 3250
访问后端接口时,报错如下: 同源是指:域名、协议、端口相同 解决方案一: 在对应方法上加注解:@CrossOrigin(origins = “*”) 加后可以正常获得接口数据: 附前端测试代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> &lt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值