Part9:跨域的几种解决方案和原理

已于 2022-02-16 14:28:49 修改
阅读量292 收藏 1
点赞数 2
文章标签: javascript nginx
于 2021-03-10 10:21:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46403734/article/details/105542253
版权

1.什么是同源策略?

同源策略是客户端脚本(尤其是 Javascript)的重要的安全度量标准。其目的是防止某个文档或脚本从多个不同源装载。
这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议,指一段脚本只能读取来自同一来源的窗口和文档的属性。

2.为什么要有同源限制?

我们举例说明:比如一个黑客程序,他利用 Iframe 把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过 Javascript 读取到你的表单中 input中的内容,这样用户名,密码就轻松到手了

3.什么是跨域?

当一个请求url的协议、域名、端口号三者之间任意一个与当前页面url不同即为跨域
在这里插入图片描述

4.跨域的解决方案以及原理

情况1:开发时候是跨域的,但是服务器部署的时候是同源的

  • 解决方案:修改本地HOST「DNS解析」
  • 核心:骗过浏览器,让浏览器认为是同源,但是本质还是跨域

情况2:开发和上线都是跨域的

  • JSONP「不安全,并且只支持GET请求」
  • CORS跨域资源共享
  • proxy跨域代理 「目前最常用的是他」
  • 杂七杂八的方案:
    • document.domain + iframe
    • window.name + iframe
    • H5 postMessage

下面重点讲解三种跨域解决方案:

(1) JSONP原理

  • 利用<script>「或者<link>/<img>/...」标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的 JSON数据。
  • JSONP请求一定需要对方的服务器做支持才可以。
  • JSONP只支持GET请求,JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
  • JSONP原理图:在这里插入图片描述
// 服务器端代码
let express = require('express'),
    app = express();
app.listen(8001, _ => {
    console.log('OK!');
});
app.get('/list', (req, res) => {
    let {
        callback = Function.prototype
    } = req.query;
    let data = {
        code: 0,
        message: '珠峰培训'
    };
    res.send(`${callback}(${JSON.stringify(data)})`);
});

(2)cors

  • CORS 需要浏览器和后端同时支持。浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。
  • CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案。
module.exports = {
    //=>WEB服务端口号
    PORT: 3001,
    //=>CROS跨域相关信息
    CROS: {
        ALLOW_ORIGIN: 'http://127.0.0.1:5500',
        ALLOW_METHODS: 'PUT,POST,GET,DELETE,OPTIONS,HEAD',
        HEADERS: 'Content-Type,Content-Length,Authorization, Accept,X-Requested-With',
        CREDENTIALS: true
    }
};

app.use((req, res, next) => {
    const {
        ALLOW_ORIGIN,
        CREDENTIALS,
        HEADERS,
        ALLOW_METHODS
    } = CONFIG.CROS;
    res.header("Access-Control-Allow-Origin", ALLOW_ORIGIN);
    res.header("Access-Control-Allow-Credentials", CREDENTIALS);
    res.header("Access-Control-Allow-Headers", HEADERS);
    res.header("Access-Control-Allow-Methods", ALLOW_METHODS);
    req.method === 'OPTIONS' ? res.send('CURRENT SERVICES SUPPORT CROSS DOMAIN REQUESTS!') : next();
});

(3)proxy代理 (适用于本地开发)

  • 不管是Node中间件代理还是nginx反向代理,主要是通过同源策略对服务器不加限制。
  • 日常工作中,用得比较多的跨域方案是cors和nginx反向代理。
module.exports = {
    //=>WEB服务端口号
    PORT: 3001,
    //=>CROS跨域相关信息
    CROS: {
        ALLOW_ORIGIN: 'http://127.0.0.1:5500',
        ALLOW_METHODS: 'PUT,POST,GET,DELETE,OPTIONS,HEAD',
        HEADERS: 'Content-Type,Content-Length,Authorization, Accept,X-Requested-With',
        CREDENTIALS: true
    }
};

app.use((req, res, next) => {
    const {
        ALLOW_ORIGIN,
        CREDENTIALS,
        HEADERS,
        ALLOW_METHODS
    } = CONFIG.CROS;
    res.header("Access-Control-Allow-Origin", ALLOW_ORIGIN);
    res.header("Access-Control-Allow-Credentials", CREDENTIALS);
    res.header("Access-Control-Allow-Headers", HEADERS);
    res.header("Access-Control-Allow-Methods", ALLOW_METHODS);
    req.method === 'OPTIONS' ? res.send('CURRENT SERVICES SUPPORT CROSS DOMAIN REQUESTS!') : next();
});

【nginx反向代理】
在这里插入图片描述

巨人张
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
请求的五种方式的实现与原理
醉死梦红尘的博客
08-18 1233
最近刚刚研究了一下的问题做一个总结 我准备分为三步来说: 一、的产生 二、如何实现 三、不同方法小节 一、的产生 为了对JavaScript 施加安全限制使浏览器不能执行其它网站的脚本,因此浏览器提出了同源策略来进行限制. 根据百度百科 同源策略它是由 Netscape 提出的一个安全策略,它是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能可能都会受到影响,现在所有支持JavaScript的浏览器都会使用这个策略. 同源是指 : 协议、名、端口号都相同,只.
textbox wpf 居中_WPF TextBox控件中文字实现垂直居中
weixin_30590247的博客
12-29 1673
TextBox纵向长度比较长但文字字体比较小的时候,在输入时就会发现文字不是垂直居中的。而使用中我们发现,TextBox虽然可以设置文字的水平对齐方式,但却没有相应的属性让我们来调节他的垂直对齐方式。好在TextBox继承自Control类,可以通过修改Template模板来改变他的属性样式(TextBlock继承自FrameworkElement,不可进行模板编辑)。最后应用一下样式可以了。PS...
解决的三种方案
m0_70477767的博客
05-03 4987
解决的三种方案 到目前为止,我们编写的 GET 和 POST 接口,存在一个很严重的问题:不支持请求 解决接口问题的方案主要有三种 CORS (主流的解决方案,推荐使用) 反向代理 (推荐使用) JSONP (有缺陷的解决方案:只支持 GET 请求) 3.代码演示 <!DOCTYPE html> <html lang="en"> ​ <head> <meta charset="UTF-8"> .
原理解决方案
最新发布
陈开心的博客
01-19 834
主要是由于浏览器的同源策略引起的,同源策略是浏览器的安全机制,当协议名端口三者有一个不同,浏览器就禁止访问资源。比如:http://www.company.com:80http://www.company.com:80/dir/page.html ----成功http://www.child.a.com/test/index.html ----失败,名不同https://www.a.com/test/index.html ----失败,协议不同。
问题常用的三种解决方式
小海的博客
05-14 9245
一、什么是?是如何产生的? 同源策略: 浏览器内置的规则!是浏览器提供的一种安全机制,限制来自不同源的数据。如果当前页面的URL地址和Ajax的请求地址不同源,浏览器不允许得到服务器的数据; 同源: 协议 http||https、名和 port端口 都相同则同源,只要有一项不同就是不同源 : 不同源就 文件资源-不受同源限制 通过页面内标签、直接在地址栏输入 / 文件资源是通过link script标签访问 url 的 二、如何解决? 1.JSONP 注
详解js原理以及2种解决方案
10-23
主要介绍了js原理以及解决方案问题是由于javascript语言安全限制中的同源策略造成的,想要进一步了解的朋友可以参考本文进行学习
jQuery问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS访问’)”); ...
Python项目问题解决方案
12-17
2.安装模块(一下代码修改都是在settings.dev下进行的) pip install django-cors-headers -i https://pypi.douban.com/simple 添加应用  INSTALLED_APPS = (  ...  'corsheaders',  ...  ) 中间件设置...
详解SpringMVC解决的两种方案
08-29
SpringMVC 解决方案 ...本文介绍了 SpringMVC 解决方案的两种方案,即通过注解的方式和通过配置文件的方式。通过这两种方案,可以解决站 HTTP 请求的问题,使得前后端分离的开发方式变得更加便捷和灵活。
最常见的六种解决方案
m0_37873510的博客
08-27 4万+
常见的解决方案
有几种解决方式?原理是什么?.docx
01-06
希望能帮助你!! 前端的很多工作都是在请求数据,将数据渲染到页面中。所以面试官问这个问题,主要是想了解你是否会请求数据,请求自己的数据,比较简单,请求别人的数据,就会造成解决方案有很多
九种方式实现原理(完整版)
DannyIsCoder的博客
02-22 630
九种方式实现原理(完整版) 前言 前后端数据交互经常会碰到请求,什么是,以及有哪几种方式,这是本文要探讨的内容。 本文完整的源代码请猛戳GitHub博客,纸上得来终觉浅,建议动手敲敲代码 一、什么是? 1. 什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。 同源策略限制内容有: ...
例举我所知道的一切js的方法,并对其原理粗略解释解释~
limeng886549的博客
08-16 187
通过jsonp: 因为通过script标签引入的js是不受同源策略的限制的(正如前文提到的baidu.com的页面加载了google.com的js)。所以我们可以通过script标签引入一个js或者是一个其他后缀形式(如php,jsp等)的文件,此文件返回一个js函数的调用,如返回JSONP_getUsers([“paco”,“john”,“lili”]),也就是说此文件返回的结果调用了JSO...
彻底解决问题(五种解决的方式)
小雪的博客
08-22 3万+
问题解决方案 最近自己写了一个js组件,该js组件是提供给第三方使用的,而js组件中涉及了ajax请求,于是乎就出现了请求问题。下面记录一下自己的解决路程。 什么是 参考:请求详解 个人理解:我理解的就是,两个不同的ip或者名,进行访问和数据交换,此时如果不做处理,便会发生请求问题。详细解释看上面链接。 我自己就是因为js提供给其他服务器进行调用,而...
前后端分离与解决方案(CORS的原理
热门推荐
来自一个小码农的记录
08-23 7万+
前后端分离     前后端分离的好处 最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小。 后台错误不会直接反映到前台,错误接秒较为友好。 由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。     个人理解...
前端常见解决方案(全)
weixin_34281537的博客
09-13 2201
什么是是指一个下的文档或脚本试图去请求另一个下的资源,这里是广义的。 广义的: 1.) 资源跳转: A链接、重定向、表单提交 2.) 资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@f...
场景及解决方案
有灯就可以编程的博客
06-17 1159
一、什么是? 请求不同协议、名、端口的行为,就是 二、解决方案 常见解决方案:Nginx代理实现不,配置支持 1、Nginx代理 通过监听一个端口,不同路径来实现对不同微服务访问,大致配置如下: server { listen 80; #监听80端口,可以改成其他端口...
三十、JS几种方法和原理
weixin_40976555的博客
06-12 192
Ps:浏览器的同源策略:其限制之一就是不能通过ajax的方法请求不同源中的文档。限制二是浏览器中不同的框架之间不能进行js的交互操作。一、什么是?1.JS是指通过js在不同的之间进行数据传输或通信,如Ajax向一个不同的请求数据,或者通过JS获取页面中不同的框架中(iframe)的数据。只要协议、名、端口有任何一个不同,即为不同的;Eg:网址是  http://baidu.co...
浏览器的几种解决方式
06-08
为了解决问题,常见的解决方式如下: 1. JSONP:通过在页面中添加一个 `<script>` 标签,可以利用 `src` 属性向不同名的服务器发送请求,而该请求返回的数据会被包裹在一个函数调用中,从而实现数据传输...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值