script 标签中 crossorigin 属性说明

已于 2024-07-06 17:45:53 修改
阅读量83 收藏
点赞数
文章标签: 前端 javascript
于 2023-09-28 11:43:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kill370354/article/details/133379313
版权

1. 背景知识:script 标签有哪些属性

  1. src : 脚本来源地址

  2. type: 表示所代表的脚本类型,有如下取值:

    • 未设置(默认)/一个空字符串/一个 JavaScript MIME 类型:普通脚本/传统脚本
    • module:模块脚本
    • importmap:代表元素体内包含导入映射(importmap)表
    • 任何其他值:所嵌入的内容被视为一个数据块,不会被浏览器处理

  3. integrity:包含用户代理可用于验证所获取到资源的完整性的内联元数据

  4. crossorigin:见下文详解

  5. 其他属性,比如async defer等,与本文关系不大,详见MDN

2. crossorigin 属性的作用

1. 【html 标准】文档中的解释

对于普通脚本,它控制是否公开错误信息。对于模块脚本,它控制用于跨域请求的凭据模式。(原文见此

2. 个人总结

默认情况下,可以从任意位置加载 js 。

如果配置了该属性,会让浏览器启用CORS检查(判断响应头中Access-Control-Allow-Origin是否与当前文档同源),如果检查不通过,则浏览器拒绝执行代码。

什么情况下要启用检查?

  1. 需要捕获跨域脚本中的错误信息
  2. type="module" 并且需要发送凭据

只验证了 cookie,其他认证信息不知道怎么测试

  1. 需要校验跨域脚本的完整性(配置了integrity的时候)
  2. 文档中的脚本(并不单单指跨域脚本)需要使用 跨域隔离的 API(比如SharedArrayBuffer,原因见此

3. 不设置 crossorigin 属性时的表现

  1. 如果没有设置type="module":获取资源时,是否带上 cookie,取决于 cookie 的同站策略(比同源策略更广泛,跨域时也可能同站

不跨站就会发 cookie;跨站的话,只有满足SameSite=None; Secure=true 的 cookie 才会发送

  1. 如果设置了type="module",则一定不发送 cookie

  2. 收到响应后,浏览器会正常执行脚本代码

  3. 全局错误捕获方面

    • 页面同源的脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

    • 跨域脚本出错:

      • promise 异常:无法捕获❌
      • 其他普通异常:只能捕获到Script error.的错误,没有详细信息

4. 设置了 crossorigin 属性时的表现

crossorigin 有 2 个值:use-credentialsanonymous

只有指定use-credentials时才表现为use-credentials,其他任何不合法的值都视为 anonymous

1. anonymous

  1. 不管有没有设置type="module",获取资源时,都不会发送 cookie

  2. 收到响应后,只有满足 响应头中Access-Control-Allow-Origin === 请求头中的origin字段,浏览器才会执行脚本代码,否则会抛出 CORS 异常

  3. 如果设置了integrity,就还会再校验一次资源完整性,不满足也会报错

  4. 全局错误捕获方面

    • 页面同源的脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

    • 跨域脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

2. use-credentials

  1. 不管有没有设置type="module",发送请求时是否带上 cookie,都取决于 cookie 的同站策略

  2. 收到响应后,响应头中需要同时满足以下条件,浏览器才会执行脚本代码,否则会抛出 CORS 异常:

    1. Access-Control-Allow-Origin === 请求头中的origin字段
    2. Access-Control-Allow-Credentials为 true

  3. 如果设置了integrity,就还会再校验一次资源完整性,不满足也会报错

  4. 错误捕获方面,与anonymous相同

5. 深入错误捕获

1. 网络解释

原文见此

2.【html 标准】文档中的说明

1. 普通异常为什么会抛出Script error.

html 标准文档 中有这样一句话:

如果该脚本属于classic scriptmuted errors为 true,则普通异常就会抛出Script error.

  1. 什么是classic script

就是指普通脚本。

省略type属性,或将其设置为空字符串,或将其设置为JavaScript 的MIME类型,意味着该脚本是classic script原文见此

  1. muted errors什么情况下会为 true?

跨域脚本就为 true,后面附带了一句极为简单的解释:“会泄漏私有信息”。(原文见此

  1. 为什么设置了crossorigin就可以暴露错误详情?

以下为个人理解,没有找到原文。

因为设置了之后,浏览器会校验响应头(Access-Control-Allow-Origin),发现服务器是允许页面内访问该脚本资源的,于是允许暴露错误信息。

2. 全局 Promise 异常为什么无法捕获?

  1. 全局 Promise 异常是HostPromiseRejectionTracker进行处理的(见下图标注序号 1 处,原文见此

  1. HostPromiseRejectionTracker内部,判断如果是classic script,则直接 return (原文见此

(个人理解同源的情况下应该走到第 5 小点中,就可以正常捕获)

  1. 回到 1 中截图标识 2 的位置,提到:

If a rejection is still not handled after this, then the rejection may be reported to a developer console.

由于HostPromiseRejectionTracker方法未进行任何处理,没有被全局监听所捕获,于是就在控制台抛出了异常。

3. 源码分析:跨域脚本抛出的普通异常为什么没有详细堆栈

1. v8 源码

首先,在 v8 源码中,script脚本默认就是跨域的。注释提到会在“主线程合并期间修复”(未研究对应代码)

上图中的注释下面调用了ScriptOriginOptions方法进行初始化script,其第一个参数就是表示是否为跨域脚本,传入的值是 false

而异常信息的IsSharedCrossOrigin()方法就是直接调用scriptIsSharedCrossOrigin()方法

因此,可以知道, 异常信息的IsSharedCrossOrigin()方法会默认返回 false.

2. chromium 源码

在chromium源码中,如果异常信息的IsSharedCrossOrigin()方法返回 false,会将sanitize_script_errors设为SanitizeScriptErrors::kSanitize

之后,判断到满足sanitize_script_errors == SanitizeScriptErrors::kSanitize,则调用CreateSanitizedError方法

就是这个方法里,会抛出Script error,并且没有给出堆栈信息。

以上可以解释普通异常为什么没有堆栈,至于 Promise 异常为什么不能捕获,还没有看懂。并且限于水平,未能调试该源码,不太好说这些没有错漏之处,颇为遗憾……

kill370354
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Script-8个属性
进阶的linzhangmeidi
01-24 151
async: 可选,表示立即开始下载脚本,但不能阻止其他页面的动作,比如下载资源或等待其他脚本加载。只对外部脚本有效。 charset: 可先,使用src属性指定的代码字符集。 crossorigin: 可选,配置相关请求的CORS设置。默认不使用CORS。crossorigin=anonyous配置文件请求不必设置凭据标志。crossorigin=use-credentials设置凭据表示,意味着出站请求包含凭据。 defer: 可选,表示在文档解析和显示完成之后再执行脚本。只对外部脚本有效。 integ
1.JS高级红宝书程序设计之JS的嵌入方式
weixin_41998371的博客
03-28 156
1 HTML JavaScript 1.1 <script>元素 1.1.1 <script>元素的8个属性  async:可选。表示应该立即开始下载脚本,但不能阻止其他页面动作,比如下载资源或等待其 他脚本加载。只对外部脚本文件有效。  charset:可选。使用 src 属性指定的代码字符集。这个属性很少使用,因为大多数浏览器不 在乎它的值。  crossorigin:可选。配置相关请求的CORS(跨源资源共享)设置。默认不使用CORS。crossorigin= "a
crossorigin属性:为什么它是避免tainted canvases的关键?
weixin_44384265的博客
10-10 810
crossorigin是跨域资源共享在HTML标签上的应用。本文我将会基于HTML标准2.5.4,给你从里至外剖析crossorigin属性
跨域时(cross-origin) Access-Control-Allow-Credentials对 CORS-actual request的response 的影响
溺水三千只取一瓢饮
02-28 3153
本文参考了:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials 概述 Access-Control-Allow-Credentials 唯一的合法值是小写的true(大小写敏感)。如果不需要credentials,直接不设置该header,不要设置false...
H5-------------- script 标签的 crossorigin 属性有何作用
热门推荐
江木
01-31 2万+
先来看下使用: src="https://code.jquery.com/jquery-3.2.1.slim.min.js"     integrity="shdsfaafa/342/42342/werfadf/GpGFF93hXpG5KkN"     crossorigin="anonymous"> 看起来比以前的写法复杂好多-----------多了一个 int
【无标题】
m0_51565414的博客
02-18 116
Jedis所需要的jar包 <dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId><version>3.2.0</version></dependency> 连接Redis注意事项 禁用Linux的防火墙:Linux(CentOS7)里执行命令 systemctl stop/disable fi
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(跨域资源共享,Cross-Origin Resource Sharing)
01-06
它利用了HTML`<script>`标签不受同源策略限制的特点,通过动态创建`<script>`标签,将请求的URL设置为一个回调函数名加上服务器返回的数据,从而实现跨域数据交互。JSONP的核心在于服务器端需要支持动态返回...
Cross XSS domain summery ppt
01-27
JavaScript可以通过SCRIPT标签从任何服务器加载,不受SOP限制。因此,开发者可以通过动态创建SCRIPT标签来实现跨域数据获取。 JSONP(JSON with Padding): JSONP是一种绕过SOP限制的方法,通过在服务器端返回...
iframe-cross-domain.rar
05-09
4. **JSONP(JSON with Padding)**:适用于只支持GET请求的API,通过动态创建`<script>`标签,将回调函数作为参数传递,服务器返回JSON数据包裹在回调函数。但这种方式仅限于GET请求,且不能用于发送数据到服务器...
jquery wcf cross ,wcf 跨域
05-20
JSONP利用了`<script>`标签不受同源策略限制的特性,通过动态创建`<script>`标签并设置其src属性为WCF服务的URL,该URL会返回一个JavaScript函数调用,包含返回的数据。然而,WCF本身并不直接支持JSONP,开发者需要...
XMLHttpRequest文参考手册
04-14
- JSONP(JSON with Padding)是一种非标准但广泛支持的跨域方式,通过动态插入`<script>`标签实现。 7. **进阶使用**: - `abort()`方法用于取消正在进行的请求。 - `progress`事件可以监听上传和下载的进度。 ...
html完整性检测,html - 什么是完整性和crossorigin属性
weixin_39717152的博客
06-04 344
integrity - 定义必须匹配的资源的哈希值(如校验和),以使浏览器执行它。 哈希确保文件未经修改并包含预期数据。 这样浏览器就不会加载不同的(例如恶意的)资源。 想象一下你的JavaScript文件被CDN攻击的情况,并且没有办法知道它。 完整性属性可防止加载不匹配的内容。无效的SRI将被阻止(Chrome开发人员 - 工具),无论其是否来源。 在完整性属性不匹配时的NON-CORS情况...
注解@CrossOrigin解决跨域问题
weixin_30668887的博客
06-11 2141
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户取出钱!)使用您的凭据。   跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不...
如何捕获和分析 JavaScript Error
u014339882的专栏
03-25 552
如何捕获和分析 JavaScript Error 前端工程师都知道 JavaScript 有基本的异常处理能力。我们可以 throw new Error(),浏览器也会在我们调用 API 出错时抛出异常。但估计绝大多数前端工程师都没考虑过收集这些异常信息。反正只要 JavaScript 出错后刷新不复现,那用户就可以通过刷新解决问题,浏览器不会崩溃,当没有发生过好了。这种假设在
跨域注解CrossOrigin的坑
weixin_45870082的博客
12-04 4332
跨域注解CrossOrigin 记录踩过的坑 首先这是我springboot的版本号,应该是springboot版本的问题,这个注解里的很多参数已经被弃用了 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.
设置了跨域还是报跨域的问题@CrossOrigin之Access-Control-Allow-Credentials
SubStar的博客
10-29 8480
这里写自定义目录标题 默认情况下 Access-Control-Allow-Credentials=false 表示: 允许客户端携带验证信息,例如 cookie 之类的。这样客户端在发起跨域请求的时候,就可以携带允许的头,还可以携带验证信息的头 又由于客户端是请求框架是 axios,并且手残的设置了 withCredentials:true,但是服务端默认是 supportsCredentials=>false, ,表示不允许携带信息头 解决: @CrossOrigin(allowCredenti
html5 crossorigin属性
weixin_30925411的博客
01-08 779
使用步骤: 1.在html标签加了crossorigin=“anonymous”属性 2.html标签的src属性的资源服务器也需要开启cors验证,并允许引用页面的域名访问,否则页面无法加载这个JS 如: Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Range ...
OpenSNN推文:近期优质博客推荐汇总
最新发布
opensnn的博客
07-12 347
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
script crossorigin 详解
06-02
需要注意的是,如果 `crossorigin` 属性设置为 `use-credentials`,那么服务器需要在响应头设置 `Access-Control-Allow-Credentials` 字段为 `true`,否则浏览器会拒绝访问该文件。此外,如果服务器返回的响应头...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值