JavaScript 的同源策略及其"CORS"跨域方案

最新推荐文章于 2022-07-01 09:24:01 发布
最新推荐文章于 2022-07-01 09:24:01 发布
阅读量132 收藏
点赞数
分类专栏: JavaScript 文章标签: js JavaScript 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37461510/article/details/90605176
版权

JavaScript 的同源策略及其"CORS"跨域方案

文章大纲

同源策略

同源是什么?

在web浏览器中,同源策略 限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

如果两个页面的

  • 1.协议
  • 2.端口(如果有指定)
  • 3.域名

三者都相同,则两个页面具有相同的源。

举例说明 http://store.example.com/dir/page.html 同源检测的示例:

URL结果原因
http://store.example.com/index.html成功
http://store.example.com/dir/another.html成功
https://store.example.com/index.html失败不同协议 ( https和http )
http://store.example.com:81/index.html失败不同端口 ( 81和80)
http://news.example.com/index.html失败不同域名 ( news和store )
http://example.com/index.html失败不同域名 (store是一个单独的自域)

如何跨源,以及场景应用

以下为4种可以遇到的跨源

源的更改

页面可能会因某些限制而改变他的源。

设置 document.domain 的值,为其当前域或其当前域的父域。

场景 http://store.example.com/dir/page.html 文档中的一个脚本执行以下语句 document.domain = "company.com" 即可通过同源检测

跨源网络访问

同源策略控制了不同源之间的交互。

使用 CORS 允许跨源访问。

场景 由浏览器发起的跨域 HTTP 请求 (这个大家接触的最多)

跨源脚本API访问

Javascript的APIs中,允许文档间直接相互引用。但是当两个文档的源不同时,一些引用方式将对 API对象的访问添加限制

可以使用window.postMessage

场景 使用 <iframe> 嵌套的时候,父子页面的通信

跨源数据存储访问

存储在浏览器中的数据,如localStorage和IndexedDB,以源进行分割。每个源都拥有自己单独的存储空间,一个源中的Javascript脚本不能对属于其它源的数据进行读写操作

场景 null

了解CORS

CORS是什么?

MDN的网站给出了这样的2种解释:

CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。

实际上着两种解释都一样。我给出这样的理解:CORS赋予服务端(通常所说的后端)一个能力,自己控制哪些浏览器的请求可以访问到它的资源,来解决跨域问题。

附:所有的 CORS

HTTP头功能
Access-Control-Allow-Origin指示请求的资源能共享给哪些域。
Access-Control-Allow-Credentials指示当请求的凭证标记为 true 时,是否响应该请求。
Access-Control-Allow-Headers用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。
Access-Control-Allow-Methods指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。
Access-Control-Expose-Headers指示哪些 HTTP 头的名称能在响应中列出。
Access-Control-Max-Age指示预请求的结果能被缓存多久。
Access-Control-Request-Headers用于发起一个预请求,告知服务器正式请求会使用那些 HTTP 头。
Access-Control-Request-Method用于发起一个预请求,告知服务器正式请求会使用哪一种 HTTP 请求方法。
Origin指示获取资源的请求是从什么域发起的。

CORS功能概述

功能概述 TL;DR

规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。

一句话概述:非简单请求时,会先发送预检请求,允许后再发送实际请求

附:node-express框架下,服务端的跨域设置

app.all('*', function (req, res, next) {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.header('Access-Control-Allow-Methods', '*');
  next();
});

CORS关于Cookie

CORS请求默认不发送Cookie和HTTP认证信息,如果想要知道用cookie就要注意3点

  1. Client端 new XMLHttpRequest()withCredentials 设置为 true
  2. Serive端 HTTP头 Access-Control-Allow-Credentials 设置为 true
  3. Serive端 HTTP头 Access-Control-Allow-Origin 不能设为星号,必须指定明确的、与请求网页一致的域名

所以上面的例子要想发送cookie

// service端
`res.header('Access-Control-Allow-Credentials', true);`
`res.header('Access-Control-Allow-Origin', '具体的域名');`
// client端
Jquery `ajax()` `xhrFields: {withCredentials: true}`
Axios `axios.defaults.withCredentials = true`

CORS的简单请求

上面讲了简单请求,但那些才是简单请求呢?我们称:若不会触发 CORS 的预检请求,称这样的请求为“简单请求”

以下为简单请求:

  1. HTTP Method 组成只能是以下几种
  • GET
  • POST
  • HEAD
  1. HTTP Headers 组成
  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type 只包含以下类型 (form表单请求)
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

注:只有同时满足以上两个条件时,才是简单请求,否则为非简单请求

CORS预检请求又是什么?

前面说了这么多预检请求,我们来讲一讲什么是预检请求:
如果我们在client端发送请求时,例如:

// 原生
var invocation = new XMLHttpRequest();

invocation.setRequestHeader('X-EXAMPLE', 'xixihaha');
invocation.setRequestHeader('Content-Type', 'application/xml');

// axios
axios.defaults.headers['X-EXAMPLE'] = 'xixihaha';
axios.defaults.headers['Content-Type'] = 'application/xml';

POST 请求发送一个 XML 文档,该请求包含了一个自定义的请求首部字段(X-EXAMPLE: xixihaha)。另外,该请求的 Content-Type 为 application/xml。因此,该请求需要首先发起“预检请求”。

server端 的HTTP头设置

Access-Control-Allow-Origin: '具体的域名'
Access-Control-Allow-Methods: POST, GET, OPTIONS // 可包含的参数
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type // 允许的首部字段
Access-Control-Max-Age: 86400

非简单请求和简单请求无异,如果浏览器的预检请求被服务器接受,则发送实际请求,未被接受则拒绝请求。

其他

跨域不止于此

JSONP
动态创建script标签,然后利用script的src 不受同源策略约束来跨域获取数据

function addScriptTag() {
    var script = document.createElement("script");
    script.src = "http://foo.example?callback=handleResponse";
    document.body.appendChild(script);
}

function handleResponse() {
  console.log('跨域数据');
};

以下跨域方案不做过多解释

上文提到的 postMessage()

nginx转发,即架设服务器代理

window.name

参考

阮一峰的网络日志

MDN web docs CORS

feng_jh0001
关注
专栏目录
JavaScript 跨域(CORS)
快乐小编的专栏
10-16 1074
1、概念 通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况与下,XHR 对象只能访问同一域中的资源。这种安全策略可以预防某些恶意行为。 但是,实现合理的跨域请求在现代web应用中还是很有必要的。 CORS (Cross-Origin Resource Sharing,跨域资源请求)是W3C 的一个工作草案,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。
JavaScript CORS实现跨域
寒岁青松的专栏
03-31 1175
JavaScript中,通过ajax向后台发送请求,其受限于同源策略同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问和操作另外一个域的绝大部分属性和方法。同源即意味着两个域具有相同的协议(如http), 相同的端口(如8080),相同的host(如www.baidu.com)。 CORS(Cross-Origin Resource Sharing, 跨域资源共享)是一种很好的解决js
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
JavaScript跨域问题--CORS
你的博客
03-28 511
1.CORSFirefox3.5+、Safari4+、Chrome、iOS版Safari和Android平台中的WebKit都通过XMLHttpRequest对象实现对CORS原生支持。IE则是引入XDR类型(与XHR类似)来支持CORS。XHR跨域:    跨域注意:1.不能使用setRequestHeader()设置自定义头部                     2.不能发送接收cooki...
同源策略cors跨域jsonp劫持
j1044957016的博客
05-31 904
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
JavaScript跨域实战:理解同源策略CORS解决方案
处理JavaScript中的跨域问题需要理解同源策略的限制以及如何利用CORS来实现跨域通信。开发者需要在前端代码中适当地设置请求头,并确保后端服务器支持相应的CORS策略,以确保跨域请求的顺利进行。这在构建现代Web...
JavaScript跨域总结与解决办法
pureboy的专栏
02-25 891
<br />JavaScript跨域总结与解决办法<br />本文来自网络(http://f2e.me/200904/cross-scripting/,该网址已不能访问),仅作个人读书笔记之用,并稍作修改和补充。什么是跨域<br />JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。这里把涉及到跨域的一些问题简单地整理一下:<br />首先什么是跨域,简单地理解就是因为JavaScript同源策略的限制,a.com
JS跨域请求解决方案-CORS
weixin_43912805的博客
02-28 1197
文章目录JS跨域请求解决方案-CORSJS跨域请求 JS跨域请求解决方案-CORS JS跨域请求 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有任何一个不同,都被当作是不同的域。 ...
cors js解决js跨域问题
intrwins的专栏
07-01 495
cors js解决js跨域问题
JavaScript--跨域--CORS
liuliuliu_666的博客
08-01 1417
CORS通过XHR实现ajax通信的主要限制来源于跨域安全策略,默认情况下只能访问与包含它的页面的同一个域中的资源,这种安全策略可以预防恶意行为。 CORS跨域资源共享):背后的基本思想,就是使用自定义的http头部让浏览器和服务器进行沟通,从而决定请求或者响应成功与否。IE浏览器对CORS的实现引入了XDR(XDomainRequest)类型。与XHR类似,但能实现安全可靠的跨域通信。 用法
跨域-CORS
吴小粥的博客
10-23 476
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。
同源策略跨域解决方案
weixin_30348519的博客
08-22 282
同源策略跨域解决方案 同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 ht...
js CORS
nidan123的专栏
08-04 1524
概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域 服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。 1. 通过jsonp跨域js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上引入不同域上的js脚本文件却是可以
JavaScript跨域资源请求(CORS)解决方案
wangchaoqi1985的博客
04-29 294
JavaScript跨域资源请求(CORS)解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值