深度解析Web开发中的跨域问题

最新推荐文章于 2023-12-26 17:40:57 发布
最新推荐文章于 2023-12-26 17:40:57 发布
阅读量151 收藏
点赞数
分类专栏: 计算机网络 SpringBoot项目 文章标签: 前端 经验分享 计算机网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62570784/article/details/132059915
版权

什么是跨域

问题背景

  • 以下是跨域的标准定义:

跨域指的是在浏览器中,当一个网页(或者Web应用)尝试访问不同域名、不同端口或不同协议的资源时,浏览器会限制该行为,防止潜在的安全风险。跨域问题是由浏览器的同源策略(Same-Origin Policy)所引起的。

同源策略是一种安全策略,是浏览器的一项重要基础安全机制。它要求网页只能与同一域名、协议和端口的资源进行交互。同源策略的存在是为了防止恶意网站获取用户的敏感信息或进行中间人攻击等安全问题。

  • 很显然,跨域就是在浏览器请求资源的过程中发生的
  • 浏览器请求资源时,如果请求的目标和当前页面的域名、端口或协议不一致,就会触发跨域问题
  • 具体来说,以下情况被认为是跨域访问:
    1. 不同域名:例如,www.example.com 和 api.example.com。
    2. 不同端口:例如,www.example.comwww.example.com:8080。
    3. 不同协议:例如,http://example.comhttps://example.com。
  • 现在的Web开发中都是前后端分离的开发模式,数据的获取并非同源,所以跨域的问题在我们日常开发中特别常见
  • 一般而言,跨域问题是在以下情况下产生的:

AJAX请求:当通过XMLHttpRequest对象发送异步请求时,如果请求的目标和当前页面的域名、端口或协议不一致,就会触发跨域问题。

资源加载:在网页中引入了来自不同域的外部资源,比如CSS、JavaScript、图片等文件时,如果资源服务器不允许跨域访问,也会产生跨域问题

广义的跨域

  • 其实浏览器加载的资源很多都是跨域的,只是有些资源的加载浏览器是允许的
  • 图片、CSS、Script等资源是不受同源策略限制的,一般不会触发跨域跨问题

狭义的跨域

  • 这里的跨域主要说的是 ajax 请求无法完成
  • 跨域问题主要是在浏览器环境下出现的,当浏览器发现请求跨域时,会在请求头中加上一个Origin字段,目标服务器会返回一个Access-Control-Allow-Origin的响应头,确定是否允许跨域访问

跨域解决方案

古老的JSONP

概念
  • JSONP(JSON with Padding)
原理
  • JSONP的优点就是因为他够老,能兼容各种浏览器,无兼容问题,众生平等
  • 他发送的不是ajax请求,而是利用了script标签加载机制。他发送的不是ajax请求
  • 了解了相关机制,我们看一下具体实现:
  • 客户端代码
function jsonp() {
    var script = document.createElement('script');
    script.type = 'text/javascript';
​
    // 传参并指定回调执行函数为backFn
    script.src = 'http://localhost:8100/getUserInfo?uid=100&callback=backFn';
    document.head.appendChild(script);
}
​
// 回调执行函数
function backFn(res) {
    alert(JSON.stringify(res));
}
​
document.getElementById('btn_get_data').addEventListener('click',()=>{
    jsonp();
});
  • 服务端代码
let uid = ctx.query.uid;
let callback=ctx.query.callback;
ctx.body = 'backFn({"code": 0, "user": "admin"})';

CORS跨域解决方案

概念
  • CORS(Cross-origin resource sharing)即“跨域资源共享“
  • 在出现CORS标准之前, 我们还只能通过jsonp(jsonp跨域请求详解)的形式去向“跨源”服务器去发送 XMLHttpRequest 请求,这种方式吃力不讨好,在请求方与接收方都需要做处理,而且请求的方式仅仅局限于GET。所以 ,CORS标准必然是大势所趋,并且市场上绝大多数浏览器都已经支持CORS。
原理
  • 支持CORS请求的浏览器一旦发现 ajax 请求跨域,会对请求做一些特殊处理,对于已经实现CORS接口的服务端,接受请求,并做出回应
  • 有一种情况比较特殊,如果我们发送的跨域请求为“非简单请求”,浏览器会在发出此请求之前首先发送一个请求类型为OPTIONS的“预检请求”,验证请求源是否为服务端允许源,这些对于开发这来说是感觉不到的,由浏览器代理
  • 总而言之,客户端不需要对跨域请求做任何特殊处理
  • 有关CORS跨域解决方案的具体介绍,可以看这篇博客:
  • 我们在开发过程中,只需作这两个步骤,即可解决跨域问题:
前端
// 创建 Axios 实例
const myAxios = axios.create({
  baseURL: "http://localhost:8083/api", // 设置请求的基础URL(后端请求地址)
  withCredentials: true,
});
后端
  /**
     * 允许跨域请求
     *
     * @param registry registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowCredentials(true)
                .allowedOrigins("http://localhost:7070", "http://localhost:3000","http://120.55.62.195:7071")  // 前端请求地址
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }

总结

  • 总之,跨域问题在Web开发过程中很常见,只要搞清楚跨域产生的原因,解决跨域问题并不困难
  • 这里另外补充几种常见的跨域解决方法,稍作了解:

要解决跨域问题,可以采取以下常见方法: ​ JSONP(JSON with Padding):通过动态创建<script>标签,利用<script>标签没有跨域限制的特性,实现跨域请求。 CORS(Cross-Origin Resource Sharing):在服务器端设置响应头,允许指定的域名或所有域名进行跨域访问。 代理(Proxy):在自己的服务器上设置一个代理接口,将跨域请求转发到目标服务器上。 WebSocket:使用WebSocket协议进行双向通信,不受同源策略限制。

回忆-如初
关注
专栏目录
Spring Boot 解决跨域问题的 3 种方案
2401_84048205的博客
05-02 229
无论是哪家公司,都很重视基础,大厂更加重视技术的深度和广度,面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。针对以上面试技术点,我在这里也做一些分享,希望能更好的帮助到大家。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取![外链图片转存…(img-4wb8dwrh-1714656596520)]
web开发面试题,前端校招面试题及解析大全
m0_60125134的博客
07-21 405
HTML面试题部分 1.H5的新特性有哪些 2.Label的作用是什么?是怎么用的? 3.HTML5的form如何关闭自动完成功能 4.dom如何实现浏览器内多个标签页之间的通信? 5.实现不使用 border 画出1px高的线,在不同浏览器的标准模式与怪异模式下都 能保持一致的效果 6.title与h1的区别、b与strong的区别、i与em的区别? 7.你做的页面在哪些流览器测试过?这些浏览器的内核分别是什么? 8.每个HTML文件里开头都有个很重要的东西,Doctype,知道这是干什么的吗? 9.di
Web前端开发,必须要了解的跨域解决方案
yiyueqinghui的博客
07-20 2204
Web的四种跨域的解决方案 1、JSONP 原生写法 <script src="http://domain/api?param1=6&callback=jsonp"></script> <script> function jsonp(data) { console.log(data) } </script> 封装后写法 <script> //参数obj说明: //eg:{ //
解决图片跨域
m0_68349563的博客
01-04 7495
解决远程图片的跨域问题
在浏览器扩展程序进行: 跨域 XMLHttpRequest 请求
热门推荐
程序员光剑
11-26 1万+
跨域 XMLHttpRequest 请求 https://crxdoc-zh.appspot.com/extensions/xhr 普通网页能够使用XMLHttpRequest对象发送或者接受服务器数据, 但是它们受限于同源策略. 扩展可以不受该限制. 任何扩展只要它先获取了跨域请求许可,就可以进行跨域请求。 注意:页面内容脚本不能直接发起跨域请求. 然而...
前端跨域的理解和解决跨域的方案详解(全)
txun123的博客
04-18 1851
作为前端开发,我们遇到最多的应该就是跨域问题,对于萌新来说,跨域就是一道墙,不知所措,其实只要理解了跨域的含义和原理,解决它是不难的,今天给大家介绍下什么是跨域跨域的解决方案! 什么是跨域跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。 广义的跨域: 1、资源跳转:A链接、重定向、表单提交 2、资源嵌入:如<link>、<script>、<img>、<frame>等dom标签,还有样式background:url.
详解HTTP跨域
summer_fish的专栏
08-06 6086
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
深度解析tornado安全性与漏洞防护
Tornado是一款基于Python语言的开源Web框架,它具有高性能、异步非阻塞的特点,适用于编写高性能和可伸缩的Web应用程序。Tornado的设计理念是简单、灵活和可扩展,它采用单线程事件循环模型,通过异步I/O和非阻塞...
pdfjs,pdf预览插件,修改跨域,优化了界面
09-10
Web开发跨域是由于浏览器的同源策略限制,使得JavaScript不能直接访问不同源(协议、域名或端口)的资源。PDF.js默认情况下可能受到此限制,因为它通常需要从服务器获取PDF文档。通过修改PDF.js的配置或者使用...
深度解析JWT的加密算法与安全
JWT(JSON Web Token)是一种用于在网络上传输声明的开放标准(RFC 7519)。它可以让各方安全地使用JSON格式进行信息交换,并且该信息可以被数字签名,以确保其可信度和完整性。JWT常用于身份验证和授权场景。 在...
利用XMLHttpRequest发起请求解决跨域
qq_37881606的博客
06-20 3416
【代码】利用XMLHttpRequest发起请求解决跨域
问题解决:web前端跨域请求
AbuXiL的博客
07-01 143
web跨域请求 浏览器报错:Access to XMLHttpRequest at’http://localhost: 3个跨域请求问题: (1)不在同一协议(2)不在同一端口 (3)不在同一IP 解决方案: !前两种方案用于解决请求自己服务器时的跨域问题。 !请求其它服务器,可参考服务器转发代理解决跨域问题 (1)jsonp,前后端配合解决示例: // 服务器端接口定义的json数据 app.get('/jsonp',(req,res)=>{ var name = req.query.nam
WebRequest方法请求跨域页面,并post大量数据
大爱无疆
09-22 4258
       在最近的项目,需要跨域访问另一个网页,并要求传入数据,如于要传入的数据容量大,通过POST数据的方法把数据传输过去,因为GET方法只能传输2KB内的数据.        下面和大家分享这个功能实现的方法:        #region 请求执行远程网页并发送数据        ///         /// 请求执行远程网页并发送数据        ///        
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5307
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码的document.cookie也无法读取服务器域名下的Cookie。
原生js XMLHttpRequest发送 get post 请求 解决跨域 及 注意事项
qq_45287575的博客
02-24 7343
原生js XMLHttpRequest发送 get post 请求 解决跨域 及 注意事项
AJAX--XMLHttpRequest & 跨域
郊眠寺
05-18 7052
XMLHttpRequest XMLHttpRequest 是浏览器内置的一个构造函数 作用:基于 new 出来的 XMLHttpRequest 实例对象,可以发起 Ajax 的请求。 axios 的 axios.get()、axios.post()、axios() 方法,都是基于 XMLHttpRequest(简称:XHR) 封装出来的! 使用 XMLHttpRequest 发起 GET 请求 主要的 4 个实现步骤: 创建 xhr 对象 调用 xhr.open() 函数 调用 xhr.send() 函
XMLHttpRequest背后的跨域思考
u010287873的博客
02-14 1475
XMLHttpRequest最先由微软发明,用来在html页面进行对服务器的异步访问。当然需要浏览器支持,最初微软在IE加入此功能以便解析该对象。Network下指请求的消息内容类型,当然也是返回的消息类型。一个简单的请求,在ALL看到很多图片,CSS,JS等的请求,这些请求到底是怎么回事?首先,很显然这些请求下来的东西是不可能在用户本地的,那么能肯定的是,ALL看到的那么多对CSS,JS...
vue/js 使用XMLHttpRequest解决调用请求跨域问题
最新发布
qq_38508172的博客
12-26 810
web想请求本地的应用服务的时候,axios和Ajax请求都会报跨域请求。使用XMLHttpRequest方法请求即可解决。
JavaScript同源策略与跨域问题深度解析
Web开发跨域问题是一个常见的挑战,它源于JavaScript的同源策略,这是浏览器为了保护用户信息安全而实施的一项安全机制。下面将详细阐述跨域问题的原因、同源策略的定义以及其目的,并讨论非同源策略下受到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值