同源策略和跨域解决方法

最新推荐文章于 2022-11-13 16:13:21 发布
最新推荐文章于 2022-11-13 16:13:21 发布
阅读量508 收藏
点赞数 2
分类专栏: 前端 JS 文章标签: 前端 javascript 同源策略 跨域 跨域解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyn15159/article/details/109154385
版权
JS 同时被 2 个专栏收录
88 篇文章 0 订阅
订阅专栏
前端
77 篇文章 7 订阅
订阅专栏

同源策略和跨域

同源(同源地址)

同源地址指的是两个页面地址的 协议 域名 端口 完全一样,这两个地址就是同源的,或者称为同源地址。

  • 我们发现,在现代网站中(京东)一个公司可能具有很多的域名,也都不是同源地址,如果在公司内部都不能进行数据请求,是很不方便的。

URL网址的基本概念

  • URL概念:统一资源定位符 (Uniform Resource Locator)
    • 俗称网址,用来标识某个资源在网络中的唯一位置。
  • 组成部分:

同源策略

同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。

同源策略不允许和非同源的网站之间发送ajax请求。

  • 发送跨域请求时,请求发送是成功的,响应也是成功的,只不过浏览器将响应的信息拦截了,开发者无法对响应信息进行操作。
  • 对开发者操作的影响,无法对非同源的地址发送ajax请求(不能跨域)。

跨域

跨域指的是非同源网站之间发送ajax请求。

  • 实际开发中,实现跨域数据请求,最主要的两种解决方案,分别是 JSONP 和 CORS。
    • JSONP ,兼容性好,但是只支持GET请求。
    • CORS ,兼容性不太好,但是支持GET、POST,并且是标准中提供的方式。

跨域方式-JSONP

JSONP:出现的早,兼容性好(兼容低版本IE)。是前端程序员为了解决跨域问题,被迫想出来的一种临时解决方案。缺点是只支持 GET 请求,不支持 POST 请求。

  • JSONP (JSON with Padding) 是 JSON 的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。
  • 由于浏览器同源策略的限制,网页中无法通过 Ajax 请求非同源的接口数据。
  • 但是 <script> 标签不受浏览器同源策略的影响,可以通过 src 属性,请求非同源的 js 脚本。

JSONP 的实现原理

  • 通过 <script>标签的 src 属性,请求跨域的数据接口,并通过函数调用的形式,接收跨域接口响应回来的数据。

  • 同源策略不限制script标签对非同源地址进行请求,可以借助script标签进行JSONP实现。

JSONP 实现步骤

  1. 准备一个处理函数handle()。
  2. 通过script标签的src属性,进行接口的请求。
  3. 请求时传入请求参数,callback 用来传递本地处理函数的函数名,其他参数随便写。
  4. 当响应结束后,步骤1设置的处理函数会自动调用,
    • 可以在处理函数中对响应数据进行后续处理。
// 使用JSONP进行请求处理:
<script>
    function handle(res) {
    console.log(res);
}
</script>
<script src="http://ajax.frontend.itheima.net:3006/api/jsonp?callback=handle&name=jack"></script>

说明

  • JSONP和JSON没有本质关联。
  • JSONP与ajax没有任何关联。
    • JSONP是使用script标签的src属性进行请求发送。
    • ajax是通过浏览器提供的XMLHttpRequest对象发送请求。

jQuery发送JSONP请求的方式

jQuery 中的 JSONP,也是通过 <script> 标签的 src 属性实现跨域数据访问的,只不过,jQuery 采用的是动态创建和移除 <script>标签的方式,来发起 JSONP 数据请求。

jQuery使用的是$.ajax()方法进行JSONP操作。

  • 在发起 JSONP 请求的时候,动态向 <header> 中 append追加 一个<script> 标签;
  • 在 JSONP 请求成功以后,动态从 <header>中移除刚才 append 进去的 <script> 标签;

实现

  • 设置dataType属性为’jsonp’。
$.ajax({
    type: 'GET',
    url: 'http://ajax.frontend.itheima.net:3006/api/jsonp',
    data: {
        name: 'jack',
        age: 18
    },

    // 下面的两个属性作为了解即可,通常不会使用
    //jsonp: 'xyz',          // 将默认的请求参数名callback设置为其他名称xyz
    //jsonpCallback: 'abc',  // 将处理函数名称设置为指定名称abc

    dataType: 'jsonp',      // 设置dataType属性为'jsonp',jQuery就会使用JSONP的方式进行请求发送
    success: function (res) {
        console.log(res);
    }
});

说明

  1. jQuery会将使用过的用于发送jsonp请求的script标签移除,打开页面也看不到。
  2. 可以从浏览器的network看到请求的类型为 script 。

跨域方式-CORS

CORS:出现的较晚,它是 W3C 标准,属于跨域 Ajax 请求的根本解决方案。支持 GET 和 POST 请求。缺点是不兼容某些低版本的浏览器。

木蓝茶陌*_*
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源&如何解决
gc_charl的博客
04-04 1005
1. 同源策略 如何解决同源策略 同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。 不同源的网站,不能访问Cookie、localStorage、indexDB、不能获取DOM、不能发送Ajax请求。(实际上是不允许读取re
浏览器的同源策略以及解决方案
weixin_47356255的博客
05-07 842
1.何为同源 协议、名、端口号相同的情况下称之为同源。 2.浏览器的同源策略 同源策略(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也最基本的安全功能,,同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,...
同源策略解决问题
qq_36787461的博客
02-23 179
同源策略 浏览器出于安全考虑设置了同源策略。也就是说如果协议,名和端口有一个不同的话就属于。 最初设计是为了保护用户信息的安全,防止恶意的网站窃取数据,如CRSF站点请求伪造。A网站在客户端设置的cookie,B网站是拿不到的。 非同源请求其实是发出去了的,只不过浏览器拒绝接受服务器返回的结果。 解决 JSONP: 利用 script 标签没有限制的漏洞。通过script ...
同源策略以及解决问题
Xstar12的博客
03-08 283
Access-Control-Allow-Origin 报错误 Access to XMLHttpRequest at ‘https://m.lagou.com/listmore.json’ from origin ‘http://localhost’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ head...
同源策略解决方案.docx
10-26
同源策略解决方案 同源策略是浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这...
JavaScript同源策略访问实例详解
10-18
JavaScript同源策略访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、名和端口完全相同时,...
vue解决方法
08-29
Vue 解决方法 Vue 解决方法是指在 Vue 项目中,前端与后台进行数据请求或提交时,如何解决问题。问题是指浏览器的同源策略限制,禁止不同源之间的资源请求。如果不解决问题,会导致NO“Access-...
同源策略++jsonp+cors
08-29
同源策略以及解决的两种方式
Django使用中间件解决前后端同源策略问题
01-20
但是在开发过程中遇见了同源策略问题,页面能够显示,但是却没有数据,显示如下 右键检查报错如下: 报错代码如下 Failed to load http://127.0.0.1:8888/publisher/: No 'Access-Control-Allow-Origin' ...
同源策略产生介绍及解决最常见的三种方式(JSONP+CORS+反向服务器代理),用详细的前后端分离代码带你搞懂原理
izl040905的博客
11-13 771
其实就是用AJAX进行请求数据时会遇到的访问问题,浏览器会给你报错,Fetch也是有这样的问题。这时候你可能会问,为什么在script标签中引用了别的源却不会出现这样的问题呢?这种情况相信写过JS代码的都知道吧。这是因为JS设计人员当初在设计标签的时候就允许了在别的源请求脚本,所以就有很聪明的开发前辈利用这个 “ 漏洞 ” 进行,这个方法便是JSONP。
同源策略
好好
12-06 1764
一、同源介绍 同源策略:限制从同一个源加载的文档或脚本与另一个源的资源进行交互。是用于隔离潜在恶意文件的重要机制。 1.怎么算是同源 如下的访问方式: 2.如果没有同源策略的危险场景 没有同源策略的接口请求: 当你进行了接口请求的时候,服务器验证之后会在响应头set-cookie字段,下次再发起请求的时候,浏览器自动将cookie附加在Http请求头字段cookie中,就可以验证登录过。 当我们...
关于同源策略解决方案
HiLiou的博客
09-26 281
关于同源策略解决方案 同源策略 同源策略:协议、名、端口号全相同 URL1 URL2 是否/原因 http://www.baidu.com/a.js http://www.baidu.com/b.js 否 / 协议,名,端口号都相同 http????/www.baidu.com/a.js https????/www.baidu.com/b.js 是 / 协议不同 http://www.baidu.com/a.js http://www.taobao.com/b.j
同源策略以及方法总结
m0_37421169的博客
12-26 238
资源同源策略以及方法总结资源同源策略理解资源同源策略目的限制范围克制同源策略方法JSONP使用JSONP的缺陷postMessage窗口发送另一个窗口接收使用缺陷CORS 访问简单请求定义请求流程非简单请求定义请求流程优势document.domainwindow.name优势缺点片段标示符location.hashWebSocket笔者注参考文档 资源同源策略 理解资源同源策略 阻止从...
什么是同源策略
weixin_30730151的博客
06-26 141
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果两个页面的协议,端口(如果有指定)和名都相同,则两个页面具有相同的源。 浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Do...
JavaScript知识梳理 - 同源策略/请求(二)
DaXiong1024的博客
07-03 253
服务器同源策略/解决请求 1.服务器同源策略 同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。 同源指两个页面具有相同的协议,主机(也常说名),端口,三个要素缺一不可。 同源策略就是为了保证网站的数据安全而存在。 2.URL构成: url:http://image.baidu.com:80/search/detail?ct=503316480&z=undefined#header http ---- 超文本传输协议 [image.baidu.com] ---- 名 8
url指的是什么_什么是同源策略?如何解决问题?什么是XSS站脚本攻击?...
weixin_39842617的博客
12-08 320
一. Ajax问题:只要协议、名、端口有一个不同,就被当做不同的。ajax:利用ajax技术请求不同名上的数据。1. 什么是同源策略同源策略是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。A网页设置的 Cookie,B网页不能打开,除非这两个网页“同源”。同源策略的作用:防止其他网页对本网页的非法篡改。同源指的是:协议、...
网站传递的原理+同源策略+src+callback回调函数
Mr.zhang的博客
01-16 870
一,传输数据的几种数据格式 1,Html Html由一些普通文本组成。如果服务器通过XMLHTTPRequest发送html,文本将存储在responseText属性中。 从服务器端发送的html的代码在浏览器端不需要用JavaScript进行解析。 可以直接使用innerHTML属性把服务器传输过来的html文本插入到页面中。 2,XML 是一种通用的数据格式 不必把数据强加到已定义好的格式中,...
AJAX - 同源策略&
vip77778888的博客
01-12 204
同源策略 什么是同源策略 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互 同源指的是两个 URL 的协议,主机名,端口号完全一致,反之,则是。 浏览器对请求的拦截过程 浏览器允许发起请求。但请求回来的数据,会被浏览器拦截,无法被页面获取到 限制 突破浏览器限制的三种方案 1....
vue同源策略禁止读取请求
最新发布
06-02
是的,Vue同源策略禁止读取请求。同源策略是浏览器的一种安全机制,它限制了一个源的文档或脚本如何能够与另一个源的资源进行交互。如果两个资源不是同源(即协议、名、端口号有任何一个不同),则默认情况下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值