被“同源策略”限制的我却想着“跨域”

最新推荐文章于 2023-12-19 10:49:22 发布
最新推荐文章于 2023-12-19 10:49:22 发布
阅读量172 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lefex/article/details/103590307
版权

在今天的内容开始之前需要理解什么是“同源策略”。我不得不拿出 MDN 上的定义:

The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin. It helps isolate potentially malicious documents, reducing possible attack vectors.

「译」同源策略是一种关键的安全机制,可以限制一个文档或者脚本如何被加载,与其它源的资源如何交互。它有助于隔离潜在的安全文档,减少潜在的攻击载体。

通俗地讲,同源策略是一种「安全机制」,定义了如何加载资源。在浏览器输入一个 URL 后,它会发出一个或者多个 HTTP 请求。下面我写了一个 demo:

<!DOCTYPE html>
<html lang="en">


<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Web Load</title>
    <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.js"></script>
    <style>
        .bg {
            width: 300px;
        }
    </style>
</head>


<body>
    <div id="app">
        <p>{{ message }}</p>
        <img class="bg" src="http://img4.imgtn.bdimg.com/it/u=2853553659,1775735885&fm=26&gp=0.jpg" alt="" srcset="">
    </div>
    <script>
        var app = new Vue({
            el: '#app',
            data: {
                message: '你好前端小课'
            }
        });
</script>
<script>
        $.ajax({
            method: "GET",
            url: "http://192.168.8.210:9999/api/fe/list",
            data: { name: "John", location: "Boston" }
        }).done(function (msg) {
            alert("Data Saved: " + msg);
        });
</script>
</body>


</html>

在Chrome浏览器中加载上面的页面,打开开发者工具可以看到与这个页面相关的所有 HTTP 请求。

总共有 5 个网络请求:

1.webload.html

这个是加载 html 文件需要执行的 HTTP 请求;

2.vue.js

第 8 行代码,使用 script 标签加载 vue.js 文件;

3.jquery.js

第 9 行代码,使用 script 标签加载 jquery.js 文件;

4.u=2853553659,xxxxx

第 20 行代码 img 标签加载的图片;

5.list?name xxxx

第 31 行代码发起的 ajax 请求;

综上,当加载一个页面的时候,与这个页面相关的资源都会通过 HTTP 请求获取。

但是在第 5 个 HTTP 请求的时候,浏览器会报一个错误:

这段代码发起一个 ajax 请求,代码如下:

$.ajax({
    method: "GET",
    url: "http://192.168.8.210:9999/api/fe/list",
    data: { name: "John", location: "Boston" }
}).done(function (msg) {
    alert("Data Saved: " + msg);
});

请求地址为:

http://192.168.8.210:9999/api/fe/list

这个请求与我们访问的页面不在同一「源」,违反了浏览器的同源策略,浏览器为安全起见,不会处理返回的响应。http://192.168.8.210:9999 这个是我们前面写的 HTTP 服务器,我拿来用了一下。

我们的主页面地址是:http://192.168.8.210:8080/webload.html,端口为 8080。

同源策略的条件是需要满足协议、host和端口一致,才属于「同源」,举个例子(图来自 MDN):

但是你可能会发现 请求 vue.js 和 jQuery 也不符合同源策略,但为啥能够获取到数据呢?

这是因为 script、img 和 link 标签比较特殊,它不同被同源策略限制。

这种限制虽然可以避免一些安全攻击,但是在实际应用中会经常遇到跨域访问的情况,例如,用户的网站A(www.a.com)后端使用了BOS存储,用户想在该网站的Web应用程序中引用存储在BOS上的资源,但该页面只能请求本域资源,向BOS发送的请求会被浏览器限制,无法直接访问带来不便。为了解决这类跨域访问问题,HTML5提供了一套标准跨域解决方案即CORS(跨域资源共享)。

跨域是突破同源策略的一种手段,有很多种方法可以实现。大的思路是,既然同源策略是浏览器的限制,那么是否可以绕过浏览器的限制呢?

答案是肯定的,比如移动 web 开发中通常会通过 bridge 的方式使用端的网络请求,获取到数据后再把数据交给前端。前端中也可以通过 node 来进行网络请求。或者使用代理的方式。

其实 Server 可以在响应头中设置 Access-Control-Allow-Origin ,这样浏览器就会正常处理接收到的响应,实现跨域。

res.writeHead(200, {
    'Access-Control-Allow-Origin': '*'
});

总结

同源策略是浏览器的一种安全手段,不到万不得已的时候能不破坏就不要破坏。实现跨域的手段有很多,大体思想就是想方设法符合同源策略的要求。

推荐阅读:

第3天:HTTP 之客户端与服务端

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

https://cloud.baidu.com/doc/BOS/s/djwvys8lg

lefex
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析同源策略跨域访问
11-22
由于`<script>`标签不受同源策略限制,可以向不同源请求JSON格式的数据。服务器返回的不是JSON,而是包裹在函数调用中的数据,客户端通过预先定义好的函数来接收和处理返回的数据。 2. CORS(Cross-Origin Resource...
浏览器页面安全-同源策略【安全篇】
问白的博客
03-26 914
为了让我们的页面变得更加安全,浏览器会使用 同源策略隔离不同源的DOM、网络数据、和网络通信。但我们在实际开发应用中对于上述的场景都有实际的需要,所以就需要再安全性和便利性之间取得一个平衡。既要保障安全,也要保障一定的灵活性。两个不同源的DOM之间也是不能相互通信 / 操纵的,于是在此之上引入了夸文档消息通信机制。让其可以比较安全的通信页面中可以引用第三方资源,由此而导致的很多诸如XSS之类的问题可以通过CSP来限制
同源策略和如何解决跨域
jiangshen_a的博客
08-26 261
截流和防抖
同源策略介绍及解析
m0_74359467的博客
12-19 474
然而,需要注意的是,同源策略并不能完全阻止所有类型的攻击,因此开发人员仍需采取其他安全措施来保护网站和用户的安全。同源策略(Same-Origin Policy)是一种Web浏览器安全机制,用于限制一个网页文档或脚本如何与另一个源的资源进行交互。限制资源共享:同源策略限制了一个网页中加载的脚本、样式表和其他资源只能与同源网页进行共享。这只是一个简单的演示,旨在说明同源策略的基本概念和限制。然而,由于同源策略限制,上述代码在默认情况下无法正常工作,因为它试图从不同的源加载数据。
同源策略简介
qq_51515209的博客
11-28 993
同源策略简介
vue2.0_前端跨域解决方案之proxy代理
QiuRenBB的博客
03-02 2803
前言   前端跨域访问别人服务器中的某个文件时,因同源策略的问题,我们的前端拿不到别人的数据,这时候我们可以使用代理的方案来解决此问题。
JavaScript同源策略跨域访问实例详解
10-18
总结来说,JavaScript的同源策略限制了不同源之间的交互,但通过JSONP、CORS等技术,开发者可以安全地实现跨域访问,以满足现代Web应用的需求。在实现这些技术时,务必注意浏览器兼容性和安全措施,确保数据传输的...
同源策略跨域解决方案.docx
10-26
在实际开发中,同源策略限制了 Ajax 请求的跨域访问。例如,在上面的 demo 中,我们使用 jQuery 的 Ajax 请求来访问另一个域名下的资源,但是会被浏览器阻止。这是因为同源策略限制跨域发送 Ajax 请求。 但是,...
同源策略保护了什么、如何规避同源限制
weixin_45543674的博客
03-27 5135
同源策略保护了什么、如何规避同源限制 基本照抄阮一峰的博客:浏览器同源政策及其规避方法 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它帮助阻隔恶意文档,减少可能被攻击的媒介。 例如cookie窃取,如果没有同源策略,当用户从网站a退出,进入另一个网站b时,网站b可能就拿到了用户在网站a中存储的cookie,泄露了用户的信息或伪装成用户向网站a的后端发送请求。 同源的要求:协议、域名、端口号相同 要求同源的场景: 如果不同源,以下三种行为会受到
1+X Web前端等级考证 | 2020 12月Web前端开发中级理论 (模拟试题第二套) 附答案
热门推荐
go
11-18 1万+
2020年下半年 Web前端开发中级 理论考试 考生姓名:——————————— 准考证号:—————————— (考试时间9:00-11:30 共150分钟) 本试卷共3道大题,满分100分。 请在指定位置作答。 一、单选题(每小题2分,共30小题,共60分) 1、在Bootstrap4框架中,偏移列通过()类来设置() A、 offset-- B、col-- C、 .col-md-push-* D、 .col-md-offset-* 2、下列哪项不是Bo
【前端学习日记】Vue2开发环境跨域问题
qq_54207312的博客
08-02 1629
为什么跨域:据说是浏览器的同源策略,不允许协议、端口、路径不一致的IP相互访问,详情可以自行百度或文档。那我们一般的一般开发的时候就是会打开一个本地服务器嘛,如localhost:8080等,那么我们访问下面这个地址:https://www.baidu.com/index/ding.json的话,就违背了同源策略。自己项目本身用的是最后那种方便的形式,但是一直配置不生效,后来对着大佬文档一个字一个字扣,终于不报跨域的错误了。3、因为请求是从服务端发出的,所以就不存在跨域的问题了。第二部分:axios配置。.
什么是同源策略
weixin_69250265的博客
01-19 151
同源策略(same origin policy)是netScape(网景)提出的一个安全策略,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。具体表现为浏览器在执行脚本前,会判断脚本是否与打开的网页是同源的,判断协议、域名、端口是否都相同,相同则表示同源。其中一项不相同就表示跨域访问。
什么是同源策略限制
weixin_30416871的博客
06-28 953
同源策略限制从一个源加载的文档或者脚本如何与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制。 cookie、localStorage和indexDB无法读取 DOM无法获得 AJAX请求不能发送 转载于:https://www.cnblogs.com/zhouyideboke/p/9237540.html...
同源策略限制跨域问题的解决方法
Dream_Lee的博客
01-28 3901
什么是同源策略 同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 什么是同源 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 浏览器的同源策略限制了来自不同源的&amp;amp;quot;document&amp;amp;quot;或脚本,对当前&amp;amp;quot;document&amp;amp;quot;读取或设置某些属性。从一个域上加载的脚本不允许访问另外一个域的文档属
浏览器同源策略的行为限制以及规避方法
WEB_YH的博客
05-10 5246
本文参考自阮一峰老师的文章链接在此http://www.ruanyifeng.com/blog/2016/04/cors.html 一、简单介绍同源策略,即三个相同: 协议相同,域名相同,端口相同。 二、同源策略主要带来三个方面的行为限制: 1、cookie,localstorage和IndexDB无法读取 2、DOM无法获取 3、Ajax请求不能发送 三、规避方法 1、cookie
同源策略及解决办法
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
同源策略限制,没有同源策略会怎么样?
Floatwor青舟的博客
03-27 1678
目录同源策略同源策略的执行说说同源策略限制没有同源策略的危害 同源策略 之前学习跨域方式的时候介绍过同源策略,但是学习真的不能知其一而不知其意,当时只是简单的了解,昨天面试随着面试官加深的询问没有同源策略会怎样,才发现自己还是没有真正的明白,今天简单记录一下0.0 Salute! 九种跨域方式及实现原理:https://blog.csdn.net/f944913628/article/details/114288543?spm=1001.2014.3001.5501 同源策略:是一种约定,它是浏览器最核
跨域 同源策略是什么
最新发布
04-25
跨域同源策略是Web开发中的两个重要概念。 跨域(Cross-Origin)指的是在浏览器中,当一个网页的脚本试图访问不同源(域名、协议或端口)的资源时,就会发生跨域请求。同源策略(Same-Origin Policy)是浏览器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值