跨域和同源策略

已于 2024-04-18 16:39:19 修改
阅读量1k 收藏 12
点赞数 27
文章标签: okhttp 安全 前端 网络
于 2024-04-18 16:30:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58118986/article/details/137926756
版权

同源策略

Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域名都匹配时,两个对象才具有相同的起源,即Origin相同。

浏览器的同源策略目的是为了保护用户的信息安全,为了防止恶意网站窃取用户在浏览器上的数据,如果不是同源的站点,将不能进行如下操作 :

  • Cookie、LocalStorage 和 IndexDB 无法读写
  • DOM 和 Js对象无法获得
  • AJAX请求不能发送

跨域并不是请求发不出去,而是请求能发出去且服务端能收到请求并正常返回结果,只是结果被浏览器拦截。

跨域请求方案

CORS

CORS 是一种机制,允许在浏览器中通过特定的 HTTP 头来控制跨域请求。

它基于服务器的信任模型,服务器可以发送额外的响应头来指示浏览器是否允许跨域请求

简单请求需要满足以下两大条件
  • 请求方法是以下三种方法之一:HEAD、GET、POST。
  • HTTP的头信息不超出以下几种字段:Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type只限于三个值 application/x-www-form-urlencoded、multipart/form-data、text/plain
非简单请求
  • 请求方法为PUT、DELETE等不是简单请求允许的方法;
  • 请求中的Content-Type不是application/x-www-form-urlencoded、multipart/form-data、text/plain;
  • 请求中包含自定义的请求头字段(如Authorization);
  • 非简单请求会先发起一个预检请求(OPTIONS请求),询问服务端是否允许实际请求;
  • 服务端需要先处理预检请求,验证并确认是否允许实际请求;

简单请求不需要发送预检请求,直接进行验证

简单请求
  • 当浏览器发现发起的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.
  • Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域。
  • 如果服务器允许跨域,需要在返回的响应头中携带下面信息

常见的解决跨域问题的HTTP响应头包括

  1. Access-Control-Allow-Origin: 允许跨域请求的来源域名。可以设置为具体的域名,也可以设置为"*"表示允许所有来源。
  2. Access-Control-Allow-Methods: 允许的请求方法,例如 GET、POST、PUT、DELETE。
  3. Access-Control-Allow-Headers: 允许的请求头,例如 Content-Type、Authorization 等。
  4. Access-Control-Max-Age: 预检请求的有效期,单位为秒。可以减少预检请求的发送频率。
  5. Access-Control-Allow-Credentials: 是否允许发送 Cookie。如果需要发送 Cookie,需要设置为 true。
操作cookie,需要满足3个条件
  1. 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
  2. 浏览器发起ajax需要指定withCredentials 为true
  3. 响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名
优点

CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案

缺点

对浏览器要求较高,低版本浏览器无法兼容

jsonp

在浏览器中, <script> 、<img>、<iframe>、<link>等标签都可以跨域加载,而不受浏览器的同源策略的限制, 这些带src属性的标签每次加载的时候,实际上都是浏览器发起一次GET请求

浏览器传递callback参数到后端,后端返回数据时会将callback参数作为函数名来包裹数据,从而浏览器就可以跨域请求数据并制定函数来自动处理返回数据。

jsonp跨域优点:

jsonp兼容性强,适用于所有浏览器,尤其是IE10以下浏览器

jsonp跨域缺点
  1. 没有关于调用错误的处理
  2. 只支持GET请求,不支持POST以及大数据量的请求,也无法拿到相关的返回头,状态码等数据
  3. callback参数恶意注入,可能会造成xss漏洞
  4. 无法设置资源访问权限

代理服务器

服务器端代理是一种通过在服务器上转发请求来处理跨域请求的方法。

它涉及设置一个位于客户端和目标服务器之间的代理服务器,客户端将请求发送到代理服务器,代理服务器再将请求转发给目标服务器,并将响应返回给客户端。

反向代理服务器

反向代理是一种代理服务器的布置方式,它将客户端请求转发到内部资源服务器,并将响应返回给客户端。

与正向代理不同,反向代理透明地对外提供服务,客户端无需知道实际提供服务的服务器

反向代理可以使用常见的Web服务器软件(如Nginx、Apache)来配置和搭建

反向代理跨域也是基于CORS

反向代理服务器可以在处理来自客户端的请求时,添加一些HTTP响应头信息,使跨域请求能够被浏览器接受。

反向代理服务器可以充当中间层,对外隐藏真实服务端,同时处理跨域请求,确保数据的安全传输和合法访问。

当相同的父域实现cookie共享

在网站的同一父域下(例如 a.cn.com 和 b.cn.com),设置 Cookie 的 domain 属性为 .cn.com

如果你想在 a.cn.com、b.cn.com 这两个子域名下共享 Cookie,你可以在设置 Cookie 时将 domain 属性设置为 .cn.com,这样这个 Cookie 就可以在所有以 .cn.com 结尾的子域名下访问。

StupidFrontEnd
关注
JavaScript同源策略跨域访问实例详解
10-18
JavaScript同源策略跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
js同源策略详解
10-24
基于同源策略,同源的网页可以相互访问对方的文档和脚本,而不同源的则被限制了。 这种策略在客户端脚本语言,尤其是JavaScript中得到了广泛的应用。例如,如果你正在浏览一个银行的网页,银行网站的脚本可以自由地...
js进阶——作用域闭包
2301_79858914的博客
09-22 944
闭包是 JavaScript 中非常强大且常用的特性,它结合了作用域链的机制,可以保存函数执行时的上下文环境,用于实现私有变量、回调函数、状态保持等多种功能。理解闭包及其工作原理,有助于更好地编写高效、结构清晰的 JavaScript 代码。
Android开发okhttp下载图片带进度
聪哥的专栏
09-24 296
Android下载网络图片带进度
JavaScript高级——事件循环模型
Fan_web的博客
09-23 247
本文主要介绍了事件循环模型的内容,下一篇继续分享JavaScript高级学习中的H5 Web Workers 多线程的内容。
第七章综合实践:JPA+Thymeleaf增删改查
2301_78884095的博客
09-26 796
首先,我们需要定义一个JPA实体类。假设我们正在处理一个简单的User实体,包含id、name和email属性。
浏览器同源策略跨域
qq_64039411的博客
09-20 728
​ 这个getdata.js这个文件是放到我们计算机本地的,假如这个文件并没有在我们自己的电脑上,而是在一台服务器上放着,要调用什么函数是不知道的,到底调用的是success还是abc方法我们不清楚,没有这个函数肯定就会调用失败。因此,JSONP的实现原理,就是通过标签的src属性,请求跨域的数据接口,并通过函数调用的形式,接收跨域接口响应回来的数据。通俗的理解: 浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C之间,进行资源的交互。
Android Retrofit源码分析(一):Retrofit是什么?和OkHttp的区别是什么?为什么需要他?
qq_40853919的博客
09-20 1067
为什么会出现Retrofit?它的作用是什么?
影刀RPA实战:java结合影刀同步采购订单数据
ddf128的博客
09-23 623
本次实战我们用java语言结合影刀,实现从自用ERP系统同步订单到旺店通中,在工作中,有时候我们的运营数据不是直接在旺店通ERP中操作,比如我们有自己的ERP,完成一些特定的内部工作后,再把数据同步到旺店通中。这时我们就需要考虑使用那种方式同步,一般情况下,我们可以从自有系统中导出数据,整理成可导入的excel再导入,也可以使用旺店通提供的接口,将数据推送到ERP中。
安卓开发中,可以反射去换肤,那么我们应该也可以使用反射去串改我们的程序,作为开发者,我们如何保证我们自己的应用的安全呢?
qq_43664361的博客
09-22 491
在安卓开发中,虽然反射提供了强大的动态操作能力,包括访问和修改类、接口、字段以及方法,但这也为潜在的恶意攻击者提供了篡改程序的可能性。作为开发者,我们需要采取一系列措施来确保自己应用的安全,防止反射被用于非法目的。
【中关村在线-注册/登录安全分析报告】
09-23 855
中关村在线(ZOL)创立于1999年,深耕科技垂直领域23年,致力于新消费势力生活科技商品第一导购平台 ,专业高质量内容的提供者。以用户第一为导向,帮用户买好产品,帮客户卖好产品为使命利用专业领先内容,帮助用户更好、更快的选购产品, 通过产品解析、产品点评、问答口碑、对接电商,简化路径、产品评测完善+ 种草导购推荐等环节,让用户全面了解每一款产品性能,帮助用户更精准、更快捷的选购科技产品。
网络编程(5)——模拟伪闭包实现连接的安全回收
最新发布
m0_63086198的博客
09-26 501
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
黎巴嫩BP机爆炸事件启示录:我国应加快供应链安全立法
09-21 1237
据报道,当地时间9月17日下午,黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地都发生了BP机爆炸事件。当时的统计数据显示,爆炸造成9人死亡,约2800人受伤。9月18日,死亡人数上升到11人,受伤人数超过4000。目前,整个事件仍在发酵之中,关于BP机是谁制造、谁运输、谁在其中动了手脚还在持续探索之中。这一事件也引发了人们对于供应链安全的广泛关注。供应链的任何环节,包括产品的源头、生产环节、运输过程...
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 378
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
sudo 命令:掌握系统权限控制,实现安全高效管理
qq_38641599的博客
09-26 512
​sudo​ 命令允许系统管理员授权普通用户执行特定命令,并以管理员身份运行这些命令,通常需要输入用户自己的密码。sudo 全称是"substitute user do",意为“替用户做”,也就是“以另一个用户的身份执行命令”。优点这种机制既提高了系统的安全性,又简化了权限管理。工作原理当用户执行 sudo 命令时,系统会检查/etc/sudoers 文件,该文件定义了哪些用户可以执行哪些命令。如果用户被授权,sudo 会要求他们输入自己的密码,然后执行指定的命令。配置文件。
论文阅读 | 可证安全隐写(网络空间安全科学学报 2023)
2301_81845359的博客
09-22 1294
可证安全隐写追求载体质与载密质分布难以区分。典型的方法,即基于拒绝采样的两种构造方法——伪随机函数族、无偏函数;利用生成模型的分布生成能力,实现可证安全的隐写方法。
【OSS安全最佳实践】降低因账号密码泄露带来的未授权访问风险
segwy的博客
09-21 1332
如果因个人或者企业账号密码泄露引发了未经授权的访问,可能会出现非法用户对OSS资源进行违法操作,或者合法用户以未授权的方式对OSS资源进行各类操作,这将给数据安全带来极大的威胁。为此,OSS提供了在实施数据安全保护时需要考虑的多种安全最佳实践。以下最佳实践遵循一般准则,并不等同完整的安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,仅建议将其视为参考因素。请您在日常使用中提高数据安全意识并时刻做好内容安全防范措施。
网站设计中安全方面都需要有哪些考虑
2301_80154636的博客
09-22 439
总的来说,通过综合考虑这些安全措施,可以大大提高网站的安全性,保护用户数据不受侵害,同时维护网站的信誉和业务连续性。网站设计中的安全性是一个多方面的问题,需要从多个角度进行考虑和实施。
跨域 同源策略是什么
04-25
跨域同源策略是Web开发中的两个重要概念。 跨域(Cross-Origin)指的是在浏览器中,当一个网页的脚本试图访问不同源(域名、协议或端口)的资源时,就会发生跨域请求。同源策略(Same-Origin Policy)是浏览器的一种安全机制,它限制了一个源(域名、协议或端口)的脚本如何与其他源的资源进行交互。 同源策略的主要限制包括: 1. Cookie、LocalStorage和IndexDB等存储在浏览器中的数据,在跨域请求中不会被发送。 2. XMLHttpRequest和Fetch等Ajax请求只能发送到同源的URL。 3. DOM无法读取来自不同源的页面的内容。 4. JavaScript无法访问不同源的窗口对象。 为了实现跨域请求,可以通过以下几种方式: 1. JSONP:利用<script>标签可以跨域加载资源的特性,通过动态创建<script>标签来实现跨域请求。 2. CORS(Cross-Origin Resource Sharing):在服务器端设置响应头,允许指定的源进行跨域访问。 3. 代理服务器:在同源策略下,通过在服务器端进行请求转发,间接实现跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值