超全的前端绕过同源策略方法的方法、jsonp的使用及与json的区别

已于 2024-10-14 11:18:12 修改
阅读量1k 收藏 7
点赞数 13
文章标签: 前端 json
于 2024-06-10 23:15:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50103979/article/details/139583946
版权

前言

最近博主在开发翰络云工具的ip查询工具(https://www.hanloth.cn/tool/ip-query-master),并且发了一篇文章来总结和展示所有用到的ip查询接口(https://blog.ivan-hanloth.cn/archives/649/)。但是开发过程中发现一些ip接口的同源策略不允许跨域(哭死),为了能够使用这些接口,博主不得不再一次仔细研究前端的同源策略,并总结了一些绕过该策略的方法,同时附上一些容易混淆的点的辨析。

同源策略是什么?

同源策略(Same-Origin Policy,简称 SOP)是一种安全机制,用于限制不同源(即不同域名、协议或端口)之间的脚本在浏览器中的交互。具体来说,同源策略规定,只有当网页与所请求的资源具有相同的来源时,才能相互访问其数据。这一策略主要用于防止跨站请求伪造(CSRF)和跨站脚本攻击(XSS)等安全威胁。

为什么要有同源策略?

同源策略的主要目的是保护用户数据的安全,防止恶意网站在未经用户同意的情况下访问其他网站的敏感数据。例如,用户登录了银行网站,同时打开了一个恶意网站。如果没有同源策略,恶意网站可能会通过脚本访问银行网站的敏感信息,从而进行恶意操作。

最低0.47元/天 解锁文章
Ivan Hanloth
关注
HttpOnly属性跨域安解析:XSS防御、绕过方式、CORS/JSONP实战及同源策略漏洞攻防指南【20250221更新一版本】
浩策盾悟
01-10 7170
Cookie的Httponly属性和逃过方式表单劫持网站劫持登陆页面有xss漏洞 最好是存储类型的获取浏览器的保存的密码 xss攻击行为浏览器同源机制为了避免恶意请求别人的网站的情况,浏览器出了一个同源机制IP地址 域名都是不一样的唯一的协议域名或者叫主机名或者IP端口浏览器不会做响应数据的拦截 防止恶意请求别人的数据同源机制非同源网站 script scr 不受同源机制的影响cors跨域和jsonp跨域和跨域标签绕过同源机制 进行数据交互 跨域。
Spring Boot跨域问题解决方案:轻松突破浏览器同源策略的限制
u013558123的博客
04-11 572
跨域问题是Web开发中常见的问题,Spring Boot提供了多种解决方案。通过本文的介绍和示例代码,相信你已经掌握了在Spring Boot中解决跨域问题的方法。在实际开发中,选择合适的解决方案可以帮助你轻松突破浏览器的同源策略限制,实现跨域请求。
同源策略及其绕过详解
yufumusui的博客
12-06 6002
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
绕过同源策略
wk19951125的博客
06-01 1817
绕过同源策略绕过同源策略理解同源策略SOPDOMSOPCORSSOP插件通过界面伪装理解SOP通过浏览器历史理解SOP绕过SOP技术在Java中绕过SOP在Adobe Reader中绕过SOP 绕过同源策略 理解同源策略 同源:拥有相同主机名、协议和端口的页面 同源策略:同源间的资源交互不受限制 SOPDOM 决定JavaScript及其他协议如何访问DOM时就是依赖同源策略,但是I...
同源策略以及绕过此限制的方法
duzm200542901104的专栏
01-05 4391
一、同源策略 1、何为同源? 所谓"同源"指的两个网页url的三个部分是相同的: http://www.example.com:80/dir/page.html 协议相同 域名相同 端口相同 2、同源策略 同源策略是Web应用程序安模型中的一个重要概念,它由 Netscape 公司在1995年引入浏览器。该策略最初是为保护DOM的访问而设计的,Web浏览器允许第一个Web页面中包含...
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 645
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安策略...
绕过浏览器相同来源策略的一些方法
天山雪的技术博客
12-21 5094
浏览器的相同来源策略大家都很清楚。它在保证了用户安性的同时,也为实现某些类型的Ajax应用造成了很大困难。经常有人尝试用各种方法绕过相同来源策略,但是很少有人成功。相同来源策略是W3C所规定的一个严格的限制机制,如果能够轻易绕过,那将是这个浏览器版本的重大安漏洞。我来总结一下我至今见到过的绕过相同来源策略的几种方法。1. 通过同一个服务器请求来自不同来源服务器的页面。 在客户端,需要对XML
php什么是同源策略,javascript - 绕过同源策略方法
weixin_36035750的博客
03-23 181
origin方法方法类型:iframe。请注意,这是一个iframe方法,它将document.domain的值设置为当前域的后缀。 如果它这样做,则较短的域用于后续的原始检查。 例如,假设文档中的脚本origin执行以下语句:document.domain = "company.com";执行该语句后,页面将通过origin传递原点检查。但是,出于同样的原因,company.com无法将sour...
VUE2.0中Jsonp使用方法
10-18
在VUE2.0中使用JSONP是一种跨域数据请求的技术,它允许在不同的源之间共享数据,尤其是在浏览器端发起跨域请求时,JSONPJSON with Padding)可以绕过浏览器同源策略的限制。这种技术的核心在于动态创建script元素...
浅谈JSONJSONP区别及jQuery的ajax jsonp使用
12-08
JSONPJSON with Padding)则是一种绕过同源策略的技术,因为JavaScript的AJAX请求受到同源策略的限制,无法直接访问跨域的HTTP资源。JSONP的核心思想是利用HTML的`<script>`标签可以跨域加载JavaScript文件的...
在开发机上绕过Chrome同源策略的办法
小米的博客
08-21 1万+
当需要用JQuery通过ajax或者get和post方法从本地加载文件或者跨域访问时,会受到Chrome严格的同源访问策略的限制。绕过方法也很简单:添加Chrome启动参数即可。 如果只需要加载本地文件:参数为: --allow-file-access-from-files 如果要跨域访问,则可以干脆关闭所有安策略,当然浏览器会提示你稳定性和安性降低: --disable-web-s
php csrf jsonp,JSONP绕过CSRF防护token
weixin_33601504的博客
03-25 301
第一次遇到了jsonp劫持漏洞,并且通过此漏洞绕过token进行成功的csrf攻击JSONP什么是jsonpJsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP的语法和JSON很像,简单来说就是在JSON外部用一个函数包裹着。JSONP基本语法如下:callback({ "name": "kwan"...
tomcat绕过同源策略(CORS)--亲测有效
子燕若水的博客
12-11 649
您唯一要做的就是编辑局配置文件web.xml,(位于CATALINA_HOME/conf),并添加过滤器如下: Please note, that to configure CORS filter with value *, except enabling the filer you also need to add configuration for parameter <param-name>cors.allowed.origins</param-name> as .
同源策略,及jsonp解决办法(learn)
Jonn1124的博客
04-01 155
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Do
jsonp 详解 —— 终于搞懂 jsonp
热门推荐
M_emory_的博客
07-02 1万+
JSONP 不是一门编程语言,也不是什么特别的技术,它更像一个漏洞,程序员可以利用这个漏洞,实现跨域(可以简单理解为跨域名)传输数据。在介绍 JSONP 之前,先来介绍一下浏览器的同源策略。通过 jsonp,我们可以避开浏览器的同源策略,从而进行跨域请求。jsonp 是利用 HTML 标签的 src 属性引用资源不受同源策影响的特性来实现的,实现步骤如下:通过动态创建 script 标签,其 scr 指向非同源的 url,并传递一个 callback 参数给服务端。
解析前端开发中同源策略配置代理
最新发布
风止的博客
05-31 910
前端开发中,跨域请求是一个常见的问题。同源策略限制了浏览器中一个页面可以加载的资源只能来自相同的源,而代理配置则是解决跨域请求的一种常见方法。本文将深入探讨代理配置和同源策略的概念,并介绍如何在前端项目中正确配置代理以解决跨域请求问题。在前端开发中,代理配置和同源策略是两个重要的概念。通过合理配置代理,我们可以解决跨域请求的问题,保证前端应用后端服务的正常通信。同时,我们也需要遵循同源策略的原则,确保用户的数据安和隐私保护。
JSONP使用
yiyueqinghui的博客
11-17 2253
1、原生JSONP写法 /* * url: jsonp地址 * callback: 返回接收的函数名(String) */ function mockJsonp(url,callback){ var JSONP=document.createElement("script"); JSONP.type="text/javascript"; JSONP.src=`${url}?callback=${callback}`; document.getElementsByTagNam
jsonp使用
lf811的博客
05-25 1678
jsonp的原理,应用场景,优缺点 CaseyWei 2018-10-31 17:15:25 159 收藏 分类专栏: 跨域 版权 在开发测试中,难免会在不同域下进行跨域操作,出于安性考虑,浏览器中的同源策略阻止从一个域上加载的脚本获取或者操作 另一个域下的文档属性,这时需要进行跨域的方式进行解决,如:使用jsonp ,iframe等 1.jsonp的原理 jsonp,即json+padding,动态创建script标签,利用script标签的src属性可以获取任何域下的js脚本,通过这个特性(..
JSONP用法总结
聚娃科技开发者博客
02-01 773
JSONP是一种通过动态创建<script>元素来绕过同源策略的技术,从而实现跨域数据请求。通常,通过在请求中指定一个回调函数的名称,服务端将数据包裹在该回调函数的调用中,使得数据能够被客户端接收并处理。JSONP是一个解决跨域数据请求的有趣而实用的前端技术。尽管它有一些安性的缺陷,但在一些特定场景下仍然可以发挥作用。当然,随着CORS的普及,它也成为了一个更为现代和安的选择。希望这篇总结对你理解JSONP有所帮助。
同源策略、跨域JSONP/CORS解决策略详解
1. JSONP (JSON with Padding):JSONP是早期为绕过同源策略而设计的一种技术,主要应用于GET请求。其原理是利用`<script>`标签不受同源策略限制的特点,通过动态创建`<script>`标签指向远程服务器提供的一个能返回...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值