浏览器的同源策略以及跨域的解决方案

最新推荐文章于 2024-07-29 08:40:47 发布
最新推荐文章于 2024-07-29 08:40:47 发布
阅读量992 收藏
点赞数
文章标签: 服务器 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62371650/article/details/127482722
版权

同源策略 跨域 CORS JSONP 反向代理
关键词由CSDN通过智能技术生成

浏览器的同源策略

文章目录

一、浏览器的同源策略是什么?

同源

同源是指浏览器与服务器的协议,域名,端口相同就是同源

浏览器采用同源策略的目的 : 是为了保证用户信息的安全,防止恶意的网站窃取数据

二. 同源策略的分类

  • DOM 同源策略: 禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况,不同域名的 iframe 是限制互相访问的(比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码)
  • XMLHttpRequest 同源策略: 禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求(这一点里面其实包括了 ajax)。
  • Cookie、LocalStorage、IndexedDB 等存储性内容同源策略: js中无法访问不属于同个源的cookie、LocalStorage中存储的内容。

三. 为什么要使用同源策略

  • 同源策略可以防止网页获取数据
  • 为了防止恶意网站iframe其他网站的时候,获取数据
  • 为了防止恶意网站在自已网站有访问其他网站的权利,以免通过cookie免登,拿到数据。

四 . 解决跨域的方案

1.使用CORS

CORS跨域资源共享)使用专用的HTTP头,服务器(api.baidu.com)告诉浏览器,特定URL(baidu.com)的ajax请求可以直接使用,不会激活同源策略。

2.使用jsonp

因为js调用(实际上是所有拥有src属性的 <\script>、<\img>、<\iframe>)是不会经过同源策略,例如baidu.com引用了CDN的jquery。所以我通过调用js脚本的方式,从服务器上获取JSON数据绕过同源策略。
只有xhr的请求方式才有可能产生跨域问题,所以不会产生跨域问题

3.反向代理

当你访问baidu.com/api/login的时候,通过在baidu.com的nginx服务器会识别你是api下的资源,会自动代理到api.baidu.com/login,浏览器本身是不知道我实际上是访问的api.baidu.com的数据,和前端资源同源,所以也就不会触发浏览器的同源策略

史蒂文·月
关注
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8264
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
同源策略(拓展)& HTML DOM、API等介绍
weixin_43815032的博客
07-30 316
01 两种类型信息泄露 个人信息泄露。黑客可以针对个人的习惯生成有规则的字典,然后通过去社工网站寻找你曾经注册过的网站,然后对这些你注册过的网站进行逐一的暴力破解。 世界上没有爆破不出的密码,只看你的字典够不够大┓(;´_`)┏ 当然现在很多网站的账户登录都需要进行验证,这样的话我们就需要配合其他漏洞来进行联合攻击啦! 网站信...
浏览器同源政策及其规避方法
weixin_30693683的博客
06-20 109
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指...
浏览器同源策略详解、主流的跨域解决方案、深入理解跨域请求概念及其根因
最新发布
liangzhenmeng的博客
07-29 6万+
跨域问题其实就是浏览器同源策略造成的。同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要的安全机制。协议端口号域名必须一致。下表给出了与 URLURL是否跨域原因同源完全相同同源只有路径不同跨域协议不同跨域端口不同 ( http:// 默认端口是80)跨域主机不同同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致。
浏览器同源策略及如何解决跨域
weixin_42440314的博客
10-01 1536
一、什么是同源策略: 如果两个url的协议、域名、端口号都相同,那么可以说这两个url是同源的;浏览器默认两个相同源之间是可以互相访问资源和操作DOM的。如果是两个不同源之间进行资源访问,浏览器会有一套基础的安全策略进行限制,这个策略就是同源策略。 二、具体来讲,同源策略体现在DOM、web数据、网络三个方面。 第一个DOM方面:可以通过JavaScript脚本来操作同源页面的DOM元素。同源策略限制不同源站点之间JavaScript脚本对当前DOM对象的读写操作 第二web数据方面:同源策略限制了不同源站
浏览器同源策略跨域访问原因、解决原理及解决方式
AXIMI的博客
07-14 559
浏览器同源策略 跨域访问的需求是浏览器同源策略引起的。 两个url地址如果请求的域名、端口 和 请求方法(http, https)都是一样,那这两个url地址同源。 如果发起请求的域与这个请求指向的资源所在的域不同源,就会造成跨域访问失败。 同源策略的功能 同源策略可以避免跨站请求伪造的问题(csrf, cross-site request forgery). 实现跨域访问原理 可以使用cors(Cross-Origin Resource Sharing,跨资源共享)来实现跨域访问。 cors标准会新
浏览器同源策略以及跨域解决方法
远方
04-03 634
浏览器同源策略同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。只允许访问来自同一站点的资源,而不是那些来自其它站点可能带有恶意代码的资源。 所谓同源是指:域名、协议、端口相同。 同源策略还可以分为两种: 1.DOM同源策略:禁止对不同源页面DOM进行操作。...
浏览器同源策略跨域
Slartibartfast的博客
08-24 362
同源策略 同源策略是对JavaScript代码对Web内容的操作权限的一个安全限制。 它规定了一段JavaScript代码只能对来自相同网络协议,相同域名,相同端口的Web内容进行操作。 举个例子:  http://www.example.com  https://www.example.com     不同源!网络协议不同  http://www.example.com:...
同源策略跨域解决方案.docx
10-26
同源策略跨域解决方案 同源策略浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这...
详解基于浏览器同源策略的几种跨域方式
09-22
浏览器同源策略是Web开发中的一项重要安全机制,它防止了不同源之间的文档或脚本相互干扰,以保护用户隐私和安全性。同源策略规定,只有当两个网页的协议、域名和端口号都相同时,这两个网页才属于同一个源,否则...
浏览器同源策略跨域解决方法
effort6的博客
07-29 402
什么是浏览器同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。 所谓同源是指:域名、协议、端口相同。 下表是相对于 http://w...
浏览器同源策略与如何解决跨域问题总结
newxc
05-01 2211
🧐 什么是同源策略 跨域问题实际就是浏览器同源策略造成的。 同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要安全机制。同源指的是: 协议、端口号、域名必须一致。 下表给出了与 URL http://store.company.com/dir/page.html 的源进⾏对⽐的示例: 同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致 同源策略主要限制了三个方面: 当前域下的 js 脚本不能够访问其他
网络 浏览器同源策略跨域解决跨域(分享)
weixin_60547084的博客
03-31 2246
文章目录1. 同源策略 1. 同源策略
浏览器同源策略
afterlake的博客
06-09 201
定义 不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源 关键词解读 不同域:同域要求两个站点同协议、同域名、同端口 客户端脚本:目前主要指JavaScript 授权:目前浏览器支持CORS来实现跨域授权,需要目标网站是否同意授权的响应头为Access-Control-Allow-Origin 读写:读写权限 资源:HTTP消息头、DOM树、C...
前端Ajax实践:同源策略跨域解决方案
针对跨域问题,一种常见的解决方案是JSONP(JSON with Padding),它利用HTML `<script>`标签的src属性不受同源策略限制的特性,允许通过动态创建script标签从其他源获取数据。jQuery提供了一个名为`$.getJSON`的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

史蒂文·月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值