理解「跨域(源)」和「跨网站」的差异与联系

于 2024-04-24 20:30:00 发布
阅读量758 收藏 13
点赞数 9
文章标签: 网络 网络安全 网络协议
[署名-非商业性使用-禁止演绎 4.0 国际](https://creativecommons.org/licenses/by-nc-nd/4.0/)
本文链接:https://blog.csdn.net/m0_49270962/article/details/138130733
版权

1. 跨域和跨站比较

URL A: https://www.example.com:443

URL BURL A 和 URL B 的差异源(域)网站无协议网站
https://www.evil.com:443不同跨源 cross-origin跨网站 cross-site跨网站 cross-site
https://example.com:443子域不同
(删除了 www.		跨源 cross-origin同网站 same-site无协议同网站 schemeless same-site
https://login.example.com:443子域不同
www. 改为 login.		跨源 cross-origin同网站 same-site无协议同网站 schemeless same-site
http://www.example.com:443协议/方案不同跨源 cross-origin跨网站 cross-site无协议同网站 schemeless same-site
https://www.example.com:80端口不同跨源 cross-origin同网站 same-site无协议同网站 schemeless same-site
https://www.example.com:443完全匹配同源 same-origin同网站 same-site无协议同网站 schemeless same-site
https://www.example.com隐式端口号 (443) 匹配同源 same-origin同网站 same-site无协议同网站 schemeless same-site

2. URL 组成部分与跨域/跨站的联系

URL: http://www.example.com:80/path/to/myfile.html?key1=value1&key2=value2#SomewhereInTheDocument

组成部分示例同源(域)same-origin同网站 same-site无协议同网站 schemeless same-site
example.com必须一致必须一致必须一致
子域www必须一致N/AN/A
协议/方案http://必须一致必须一致N/A
端口(含隐式):80必须一致N/AN/A
路径/path/to/myfile.htmlN/AN/AN/A
查询?key1=value1&key2=value2N/AN/AN/A
片段#SomewhereInTheDocumentN/AN/AN/A

3. 参考

  1. 了解“同网站”和“同源” | Articles | web.dev: https://web.dev/articles/same-site-same-origin?hl=zh-cn
  2. 标识互联网上的内容 - HTTP | MDN: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/Identifying_resources_on_the_Web
  3. Fetch Standard: https://fetch.spec.whatwg.org/#cors-protocol
零一魔法
关注
  • 9
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
xmlHttp ie6下不跨域还提示没有权限,ie8下不会有这错误
10-30
总的来说,IE6与IE8在处理XMLHttpRequest跨域请求和URL长度限制上存在差异,这需要开发者在编写代码时考虑到这些兼容性问题。通过调整请求类型(如从GET转为POST)和设置适当的HTTP头部,可以克服这些限制。在现代...
子页面访问父页面和iframe访问(ie 和火狐)
12-25
总结,子页面访问父页面和iframe访问涉及浏览器的API使用、同策略的规避以及跨域通信机制。在开发过程中,要充分考虑到不同浏览器的兼容性,特别是在处理IE等较老版本的浏览器时。同时,确保安全是首要任务,...
跨站跨域的区别;前端多种跨域方式
weixin_50464560的博客
08-13 3285
一、跨域的由来(前端多种跨域方式)          跨域大家都不陌生,跨域是为了克服浏览器的同策略。但可能对浏览器为什么会出同策略有些陌生。这里先简单介绍跨域的由来。         浏览器的同策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资,所以需要跨域。所以就出现了各种跨域的方式,如JSONP、CORS、H5的postMessage、N...
跨站跨域的区别
最新发布
qq_17335549的博客
01-02 792
Cookie 的同主要用于防止CRSF,Cookie的校验较宽松,Cookie只关注域名,忽略协议和端口,只要两个 URL 的 eTLD+1 相同即可【顶级域名+1】,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.co、.uk、.github.io 等。所以跨站即:两个URL顶级域名和二级域名不同就是跨站(也称第三方(Third-party)),相同则是同站本方(First-party)
跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials
EmotionComputer
12-01 1834
跨域,注意是浏览器设置的同策略,是在浏览器端限制的,也就是在当前域名下发送的xhr请求是否和当前域名同域。 如果跨域了,可以通过设置Access-Control-Allow-Origin来解决跨域; 如果是同域,则cookie自动被带上,如果是跨域,则需要设置withCredentials(chorme浏览器94以前的版本); 如果是在启明星里执行console.log(window.location),则打印的是启明星的location。 同域下不一定能携带cookie??这好像还和samesite有关
跨域跨站
lgq2016的博客
06-07 177
只要两个 URL 的 eTLD+1 相同即是同站,不需要考虑协议和端口eTLD: (effective top-level domain) 有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,如.com.co.uk.github.io.top等eTLD+1: 有效顶级域名+二级域名,如taobao.combaidu.comtips: 这里的一级,二级域名主要指计算机网络中规定的,与通常业务开发中所指的一二级域名有些许差异eTLD: .topURL。
跨域跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4520
系统性梳理前端同策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域跨站问题解决方法。
详解iframe跨域的几种常用方法(小结)
11-26
【详解iframe跨域的几种常用方法(小结)...对于更复杂的跨域场景,还可以考虑使用CORS(跨源共享)或JSONP等技术。理解并掌握这些方法,能够帮助我们在开发过程中更好地应对跨域挑战,提高项目的灵活性和可维护性。
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
例如,CORS(Cross-Origin Resource Sharing,跨源共享)是一种广泛用于解决跨域问题的机制,但在早期版本的浏览器中,如IE8和IE9,它可能通过XDomainRequest对象实现,但存在一定的限制。开发者可以借助像CanI...
基于多对多生成对抗网络的非对称跨域迁移行人再识别.docx
02-23
《基于多对多生成对抗网络的非对称跨域迁移行人再识别》 行人再识别技术,作为现代智能视频监控网络中的...通过理解和建模视角差异,此方法有助于提高摄像头的行人匹配准确率,进一步推动行人再识别技术的实际应用。
跨域跨站
zhanlijuan
02-18 1224
一、概念 术语 解释 备注 跨域 两个 URL 的“协议+主机名+端口”3者只要有一个不一致 http://www.taobao.com/和https://www.taobao.com/ 跨站 两个 URL 的 eTLD+1 不相同 a.github.io 和 b.github.io eTLD effective top level domain (有效顶级域名) .com、.co.uk、.github.io eTLD+1 有效顶级域名+二级域名 taobao.com 特别说
单点登录实现原理(SSO)
weixin_30877493的博客
04-28 134
简介 单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的保护资,若用户在某个应用系统中进行注销登录,所有的应用系统都不能再直接访问保护资,像一些知名的大型网站,如:淘宝与天猫、新浪微博与新浪博客等都用到了这个技术。 原理 单点登录 有一个独立的认证中心,只有认证中心才能接受用户的用户名和密码等信息进行认证,其他系统不提供登录入口,只接受认证中心的间接授权。...
谈谈对跨域跨源)的一些理解
weixin_45092437的博客
11-21 1181
我们讲了这么多的跨域的解决方案,但我们不得不思考这样一个问题:浏览器为什么要设置这么一道障碍?几乎所有人都知道答案,那就是为了安全。可这个安全是为了谁? 有人说是为了浏览器的安全,避免恶意脚本的执行,对客户端造成损害,但这是片面的。 也有人说是为了服务端的安全,避免服务器被攻击,但通过抓包可以发现,当出现跨域时,其实服务端的数据已经完整返回了,也就是说其实服务器对于跨域并不知情,所以这种说法也是片面的。 其实跨域真正的意义是为了保护**数据资**的安全,例如:图片、字体、音视频、css、js等等。
分享--关于前端跨域跨站描述最清晰的一篇博客
leman314的博客
06-02 312
原文博客
跨域请求问题与跨站请求伪造
weixin_44166997的博客
07-04 2378
文章目录1·跨域请求问题解决方法2·跨站请求伪造解决方法一方法二 1·跨域请求问题 在使用django-rest-framework开发项目的时候我们总是避免不了跨域的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现跨域。 解决方法 DRF后端实现跨域我们使用一个第三方扩展——— django-cors-headers...
跨域跨域访问
热门推荐
斜阳雨陌
05-18 1万+
什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资。比如从www.baidu.com 页面去请求 www.google.com 的资跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 为什么浏览器要限制跨域访问呢? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问...
什么是跨域?和跨域的解决方案
luoyeyeyu的专栏
10-16 1056
一、跨域的由来          跨域大家都不陌生,跨域是为了克服浏览器的同策略。但可能对浏览器为什么会出同策略有些陌生。这里先简单介绍跨域的由来。         浏览器的同策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资,所以需要跨域。所以就出现了各种跨域的方式,如JSONP、CORS、H5的postMessage、Nginx等方式,本文住要介绍JSONP和...
HTTP访问控制(CORS)
FY19951211的博客
10-20 2299
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资所在域不同于该请求所指向资所在的域的HTTP请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://domainb.foo)站点的某图片资(http://domainb.foo/image.jpg),...
关于跨域,和跨域问题的完整解决方案
阿杰
03-28 547
跨域:浏览器对javascript的同策略的限制 所谓的同是指,域名、协议、端口均为相同。 同限制的行为有 Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 跨域的原因 跨域原因 示例 域名不同 www.jd.com与www.taobao.com 域名相同,端口不同 www.jd.com:80...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零一魔法

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值