同源策略--前端工程师从全栈的角度去看跨域

最新推荐文章于 2023-03-13 16:44:55 发布
最新推荐文章于 2023-03-13 16:44:55 发布
阅读量709 收藏
点赞数
文章标签: 前端 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55861837/article/details/124092677
版权

禁止一个源(origin)的脚本&文档和另一个源的脚本&文档交流

  • 两个URL的protocol,port和host相同,那么同源

不希望一个源和另一个源有太多的交互。
允许修改dom
不允许获取远程图片内容,因为图片有可能是用代码编写而成的图片,可以用脚本解析。
不允许网站提交数据到不同源服务器
不允许网站提交cookie到不同源的服务器 

跨域的N种方法

Jsonp
利用不限制跨域脚本执行特点
可以用来提交数据

但是必须是get方式而且要放到url上面。可以但是没必要,不要用来提交

 

//服务端数据(data.js)
jsonp('example',{
    a:1,
    b:2
})

//index.html
function jsonp(topic,data){
    console.log(topic,data)
}
//加载跨域脚本
var script = document.createElement('script')
script.setAttribute('src','data.js')
document.getElementsByTagName('head')[0].appendChild(script)

 fetch 的jsonp
fetch 的method属性写jsonp就会自动解析成sc标签

fetch(<jseonp-url>,{method:'jsonp'}).then(data=>{
console.log(data)
})

跨域资源共用(CORS)

一般前端会加个node层代理
跨域资源共用(Cross-Origin Resource Sharing) 使用额外的HTTP头允许指定资源和另一个源进行交互
a请求b
Access-Control-Allow-Origin:https:a.com

 

  1. a发出OPTIONS的头部,并且会准备带上一些头部
  2. b收到请求,就会去看自己支不支持这个同源策略
  3. 发出请求,带上请求头,
  4. b返回真实数据。

 

缺点
因为是一个请求
所以要消耗带宽
消耗请求。

代理服务
利用代理将不同源的资源代理到同源的资源里
中间加一个代理层

问题
交互链加长,

实战CORS(fetch+node.js)

 res.set('Access-Control-Allow-Origin', 'http://www.dev.com')
    // put 的情况
    // 需要Access-Control-Allow-Methods
    // 为什么Post,get不需要,因为他们是简单请求
    // 不行,去预处理那里加

子域之间也是跨域
子域和父域也是跨域
mode:'no-cors'
透明请求,会是一个虚假返回,没有数据的。

如何安全配置域名
1.先拿到源,分析源,共享一级域名。

陈Joys
关注
前端面试的话术集锦第 1 篇:基础篇一
念兮为美
08-25 1098
前端面试话术集锦第一篇: 前端需要注意哪些SEO;<img>的title和alt有什么区别;HTTP的⼏种请求⽅法⽤途;从浏览器地址栏输⼊url到显示⻚⾯的步骤等; 如何进⾏⽹站性能优化;HTTP状态码及其含义;语义化的理解; 介绍⼀下你对浏览器内核的理解;html5有哪些新特性、移除了那些元素; HTML5 的离线储怎么使⽤,⼯作原理能不能解释⼀下;浏览器是怎么对 HTML5 的离线储资源进⾏管理和加载的呢; 请描述⼀下cookies,sessionStorage和localStorage的区别
域的基础概念
Captain_RB的博客
09-06 4926
域在内网渗透中的地位举足轻重,本文主要介绍域的基础概念,为后续域渗透的介绍做铺垫 部分内容参考文章:https://blog.csdn.net/wulantian/article/details/42418231 文章目录1.域结构关系2.AGDLP3.OU和组策略4.信任关系5.FSMO角色6.Kerberos认证 1.域结构关系 图1 域的结构关系 活动目录:Active Directory(AD),是一种结构化数据储目录服务,包含了用户、用户组、计算机、域、组织单位(OU)以及安全策略等对象信.
跨域及解决方案
weixin_51670675的博客
10-18 3826
浏览器的同源策略和常见的跨域解决方案
跨域
Honeymao的博客
01-29 465
域名地址的组成: 当协议,子域名,主域名,端口号任意一个不同时,都算作不同域。不同域之间资源请求就叫做跨域。   如果你直接跨域访问了,浏览器将报错,因为你没有访问权限。javascript出于安全方面考虑,不允许跨域调用其它页面的对象。a.com域名下的js无法操作b.com域名下的对象。处理跨域问题: 通过在同域名的web服务器端创建一个代理 在上海服务器上有一个服务: www.shan
跨域问题的理解和解决方案
m0_56570685的博客
11-07 737
同源策略:是指协议、域名、端口都要一致,任何一个不对都会产生跨域 浏览器发送的请求与当前正在访问的页面的协议不同,端口不同,域名不同,子域名不同都会造成跨域问题的发生,要注意的是这个是**浏览器的同源策略**造成的
iframe标签(属性介绍(sandbox、srcdoc、scrolling)、iframe对象、onload事件、父集获取iframe内节点(同源和不同源情况)、domain修改规则和示例)
AIWWY的博客
11-09 7108
目录 iframe标签 属性简要汇总 部分属性详细介绍 align fameborder height|width marginheight|width name sandbox scrolling srcdoc iframe对象 属性汇总 onload事件 父集获取iframe内节点 同源情况(域名和端口号相同) 不同源(父子域名、端口号相同) 不同源(万能) iframe优缺点和应用场景、设置网页是否能作为iframe(X-Frame-Options)、点击...
到底什么是跨域,如何解决跨域(常见的几种跨域解决方案)?
u011047968的专栏
03-13 7246
协议:http://子域名:www子域名:a.com端口号:8080请求资源地址:scripts/jquery.js跨域根本原因是由同源策略引起的。所谓同源是指域名,协议,端口相同,当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,在请求数据的时候浏览器会在控制台报一个异常,提示拒绝访问。注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要!!!跨域访问的例子:请求跨域了,那么请求到底发出去没有?
全栈工程师阅读笔记:自建站点实践与技术要点
4. 跨域资源共享(CORS):涉及到不同域间数据交换的安全性问题,以及处理同源策略的方法。 5. SEO优化:涉及网站的搜索引擎优化,如设置正确的HTTP头部信息、元标记和关键词优化,以提升搜索引擎排名。 6. 客户端和...
剑指前端offerPDF版.pdf
03-18
这项技术突破了同源策略的限制,使得跨域数据交换变得可能。 - **基本概念**: - **Access-Control-Allow-Origin**:指定请求可以继续的域名,可以是具体的域名(如`http://example.com`)或者是通配符`*`表示允许...
03-token和cookie区别.md
03-31
由于每个cookie的大小不能超过4KB,并且受到同源策略的限制,因此cookie并不适合储大量的信息。当客户端首次与服务器通信时,服务器通过`set-cookie`响应头设置cookie。之后,每次客户端发送请求到服务器时,都会...
08-websocket.md
最新发布
03-31
前端工程师面试中考察WebSocket协议的知识点主要是为了评估求职者是否具备全栈开发的能力和了解前后端通信的基本原理。本章的内容将围绕面试题展开,深入探讨前端面试中涉及的技术广度问题,涵盖移动端、服务端等多...
二级域名或跨域共享Cookies的实现方法
09-06
适用于Asp。 在主域名设置的Cookie,在各子域名共用;适用于博客等提供二级域名。这个问题,以网上有众多帖子,可惜都没有完整解决。
【创建父域和子域】
m0_62279905的博客
10-08 4046
快来和我一起做实验吧!池昌旭好帅啊!
闭关纪要2.不同子域名之间Ajax访问跨域问题的解决
weixin_34273481的博客
10-29 296
        上次给我的闭关纪要开了一个头之后,我就一直继续闭关研究,虽然我研究的东西大多很有来头,而且我也预计将源码公开,可是都还没有一个完整的东西来给大家介绍,几天前,我在解决我的网站性能问题的时候突然有一个想法,能够解决我一直很想解决的子域名跨域的问题,觉得应该与大家分享一下,不知道有没有人用过。         问题描述如下:我个人使用Ajax的方式通常是调用类似Json或者Rest接...
window.parent.postMessage 解决iframe父子页面域名不一样出现的跨域问题
weixin_49295874的博客
01-03 1989
window.parent.postMessage 解决iframe父子页面域名不一样出现的跨域问题内嵌 iframe 页面,一般使用 window.parent 或 window.top 来获取父页面的 window 对象在子页面 想使用(或传递给) 父页面的参数,但是原因两个的域名不一样,所以会出现跨域问题。
父子页面之间跨域通信的方法
mmrsdym的专栏
08-14 874
原文出处: 腾讯TID - lyndon   欢迎分享原创到伯乐头条 由于同源策略的限制,JavaScript跨域的问题,一直是一个比较棘手的问题,为了解决页面之间的跨域通信,大家煞费苦心,研究了各种跨域方案。之前也有小网同学分享过一篇“跨域,不再纠结” 开始照着尝试时还是有些不够明白的地方,深入了解之后,这里给大家补充一点更具体的做法。 先来看看哪些情况下才跨域的问题:
子域名跨越的问题
weixin_33943347的博客
08-23 207
子域名不支持ajax直接提交,但支持form表单直接提交。
前端面试笔记14:跨域问题的解决
qq_52287721的博客
01-03 714
跨域问题的解决 文章目录跨域问题的解决实现主域名下不同的子域名跨域操作document.domain解决不同跨域窗口间的通信问题location.hashwindow.namepostMessage解决无法提交跨域请求的问题JSONPCORSWebSocket服务器代理 当两个 URL 的协议、端口号和主机至少有一个不一致的时候,如果想让这两个源的资源进行交互,就需要用到跨域的技术了。 那么哪些技术可以解决跨域问题呢? 解决跨域的方法我们可以根据我们想要实现的目的来划分。 实现主域名下不同的子域名跨域
掌握JS-Web-API-Ajax:前端工程师必备技能
作为前端工程师,熟练掌握AJAX技术是必须的,因为它能够显著提升用户界面的响应性和交互性。本章将深入探讨AJAX的基础知识、使用场景以及在前端开发中的重要性。 首先,AJAX的核心是通过XMLHttpRequest对象,它允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值