【转】JS同源策略

最新推荐文章于 2024-05-07 23:11:20 发布
最新推荐文章于 2024-05-07 23:11:20 发布
阅读量2.9k 收藏
点赞数
分类专栏: JavaScript学习笔记 文章标签: javascript jsonp 360 脚本 json url
在web页面的开发中我们经常会说起脚本的跨域访问的问题,这个问题的始作俑者就是javascript语言安全限制中的同源策略(same-origin policy )所造成的。
同源策略简单的说就是一段脚本只能读取来自于同一来源的窗口和文档的属性,这里的同一来源指的是主机名、协议和端口号的组合;
示例:来自 http://www.360.cn/a/b.html 的js脚本访问下列url的结果和原因
 
但是在日常的开发中,我们有时候确实需要跨域的访问,怎么办?下面列举了三种情况分别来解决这个问题:
1.某两个具有相同的一级域名的二级域(如se.360.cn和sd.360.cn)下的页面这间的互相访问
在javascript 1.1版本以后,给document对象引进了一个属性叫domain,通过将这个属性设置成指向同一个域名可以满足上面的需求,例如在se.360.cn中的脚本a.js的开始设置
<javascript>
document.domain=360.cn;
</javascript>
在sd.360.cn中的脚本b.js的开始设置
<javascript>
document.domain=360.cn;
</javascript>
这样在a.js和b.js中就都可以通过获得另外一方的document对象来访问其他内容了。
note: 这个办法需要你能控制两个域中的代码
 
2.完全不同的两个域的访问,如www.360.cnwww.360safe.com的互相访问
这种情况通过javascript语言本身就无法解决了,需要借助<javascript>标签的特性和jsonp协议,在html文档里使用<javascript>标签时有个src属性,这个属性对于url的域名是没有任何限制的,jsonp全名json with padding。
一个简单的做法就是利回调函数:
客户端代码:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head>
    <title>Test Jsonp</title>
<script type="text/javascript">
         function jsonpCallback(result)
         {
alert(result.msg);
         }
     </script>
<script type="text/javascript" src="http://test.com/test.php?jsonp=jsonpCallback"></script>
</head>
<body>
</body>
</html>
 
服务端的代码:
<?php
echo $_GET['jsonp']." ({msg:'this is json data'})";
?>  

服务端实际上生成了一段js代码,用于放在客户端的<javascript>标签里执行,通过json的强大特性还可以完成更加复杂的功能;
Note:这个办法也需要你能控制两个域中的代码
 
3.假如你无法控制其中一个域的代码,怎么办?
 
这个时候就只能通过代理的方式来满足需求了,图示如下
如果a.html想获得c.html的内容,它首先请求和他同域的b.php页面,b.php中通过服务端请求c.html,然后返回给a.html
linglongwunv
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript同源策略的概念与相关应用注意事项,需要的朋友可以参考下
同源策略限制及跨域问题的解决方法
Dream_Lee的博客
01-28 3777
什么是同源策略 同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 什么是同源 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 浏览器的同源策略,限制了来自不同源的&amp;amp;quot;document&amp;amp;quot;或脚本,对当前&amp;amp;quot;document&amp;amp;quot;读取或设置某些属性。从一个域上加载的脚本不允许访问另外一个域的文档属
js-22同源策略
Charlotte_99的博客
11-30 918
外链图片存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BGDnD5Mp-1669771511418)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1649307607396.png)]实现原理: 动态构造script标签,将请求url接口地址作为script属性src值。callBack 由后端提供。//动态创建script标签。
同源策略和解决跨域问题(服务端设置,三步骤)
你若盛开,清风自来
03-19 737
同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 为什么要有跨域限制? 因为存在浏览器同源策略,所以才会有跨域问题。那么浏览器是出于何种原因会有跨域的限制呢。其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 CORS(跨域资源共享) CORS(Cros...
同源策略、跨域
Cao_Mary的博客
06-21 531
访问资源时遇到问题,报错:No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 原因:访问的资源不是同源的。 1.什么是同源策略? 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能 所谓同源是指: 协议,域名(一级、二级域名),端口都相同,就是同源, ...
js同源策略
pan_bok的博客
06-22 1125
同源指的是:同协议,同端口,同域名 如果两个URL的协议、域名和端口相同,则表示他们同源。 同源策略:         浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。 (白帽子讲web安全[1])         从一个域上加载的脚本不允许访问另外一个域的文档属性。     举个例子:       
WebView加载本地html需要处理同源策略
有神马好说的的博客
11-16 1062
localWebSettings.setAllowFileAccessFromFileURLs(true);
JavaScript同源策略
didadidadidadid的博客
12-29 177
a. 同源策略指的是协议,域名,端口相同 b. 同源策略是一种安全协议 c. 指一段脚本只能读取来自同一来源的窗口和文档的属性
请解释一下 JavaScript同源策略
weixin_42856661的博客
08-15 754
同域名、同端口、同协议
JavaScript同源策略和跨域访问实例详解
10-18
主要介绍了JavaScript同源策略和跨域访问,结合实例形式较为详细的分析了javascript同源策略与跨域访问的原理、实现、使用方法及相关注意事项,需要的朋友可以参考下
深入浅析同源策略和跨域访问
11-22
1. 什么是同源策略   理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则...
浏览器同源政策及其规避方法
de683905的博客
11-13 132
浏览器安全的基石是”同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍”同源政策”的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不...
同源策略与跨域访问jsonp和cors等)
热门推荐
关注网络安全、云原生安全
03-08 1万+
同源策略 由于浏览器安全限制,数据是不可以直接跨域(包括不同的根域名、二级域名、或不同的端口)请求的,除非目标域名授权你可以访问jsonp是使用方法回调的原理. 在网页里,你如果引入其他网页的js,那这个页面的js是可以调用你网页的代码的 ...
vue3+arco design通过动态表单方式实现自定义筛选
最新发布
m0_72167535的博客
05-07 387
vue3+arco design通过动态表单方式实现自定义筛选
基于Springboot的家具网站
趙兴晨的博客
05-03 542
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1199
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
vue快速入门(五十)重定向
不起眼小菜菜的博客
05-03 427
注释很详细,直接上代码……
50个前端实战项目之04:隐藏的搜索小组件
前端开发博客
05-03 1096
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
遍历JavaScript对象(字典)
weixin_45596561的博客
05-01 364
遍历JavaScript对象(字典)是编程中常见的需求。for...in循环提供了最直接的方式,但在某些情况下可能需要额外的检查。与forEach结合使用提供了另一种遍历方式,特别是在您使用现代JavaScript版本时。根据您的具体需求和偏好,可以选择最适合您的遍历方法。
JavaScript同源策略
07-13
JavaScript同源策略是浏览器中的一项安全机制,它限制了来自不同源(域名、协议或端口)的网页之间的交互。同源策略的目的是防止恶意网站利用跨域脚本攻击(XSS)或跨站请求伪造(CSRF)等方式获取用户的敏感信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值