浏览器--------------同源和跨越策略浅了解

最新推荐文章于 2022-07-05 08:51:00 发布
最新推荐文章于 2022-07-05 08:51:00 发布
阅读量498 收藏
点赞数 4
文章标签: ajax jquery 服务器 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62907534/article/details/123574356
版权
本文深入探讨了浏览器的同源策略及其安全作用,解释了为何会有跨域问题。接着,介绍了JSONP作为跨域解决方案的简单易用性及潜在风险,并详细阐述了CORS(跨域资源共享)的优势与局限性。了解这些概念对于前端开发者处理跨域请求至关重要。
摘要由CSDN通过智能技术生成

一、同源策略

二、跨域

1.jsonp

2.cors

一、同源策略

同源策略是一个重要的安全策略,它用于限制一个orign的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

在浏览器中规定两个网页的协议、域名、和端口都相同,则两个页面具有相同的源。

 具体的内容包括:

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html失败主机不同

 

同源策略会在服务器响应请求时进行拦截。

二、跨域

因为存在浏览器同源策略,所以才会有跨域问题。与同源策略相反的就是跨域。

1.jsonp

由于 script 标签不受浏览器同源策略的影响,允许跨域引用资源。因此可以通过动态创建 script 标签,然后利用 src 属性进行跨域,这也就是 JSONP 跨域的基本原理。

优点

  • 使用简便,没有兼容性问题,目前最流行的一种跨域方法。

缺点

  • 只支持 GET 请求。
  • 由于是从其它域中加载代码执行,因此如果其他域不安全,很可能会在响应中夹带一些恶意代码。
  • 要确定 JSONP 请求是否失败并不容易。虽然 HTML5 给 script 标签新增了一个 onerror 事件处理程序,但是存在兼容性问题。

2.cors

CORS(Cross-origin resource sharing,跨域资源共享)是一个 W3C 标准,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。CORS 背后的基本思想,就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。

优点

  • CORS 通信与同源的 AJAX 通信没有差别,代码完全一样,容易维护。
  • 支持所有类型的 HTTP 请求。

缺点

  • 存在兼容性问题,特别是 IE10 以下的浏览器。
  • 第一次发送非简单请求时会多一次请求。

小梅正在努力中ing
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cross-request 插件
01-08
YAPI插件,用于实现跨域,浏览器共享cookies
不受同源策略限制的html标签,浏览器同源策略,及跨域解决方案
weixin_30747571的博客
06-23 1379
一、Origin(源)源由下面三个部分组成:域名端口协议两个 URL ,只有这三个都相同的情况下,才可以称为同源。下来就以 "http://www.example.com/page.html" 这个链接来比较说明:二、同源策略浏览器同源策略是一种安全功能,同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。所以a.com下的js脚...
资源引入受同源策略影响还有不受同源影响的标签
qq_33987584的博客
12-15 711
1、script,img,link css,iframe标签 不被同源策略影响,可以跨域获取资源 2、canvas 引入绘图资源会有跨域问题。
同源策略与跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源策略与跨域请求
qq_52643498的博客
07-05 432
XSS与CSRF的基础 —— 同源策略的学习
同源策略跨越及解决方案
weixin_43989621的博客
08-27 279
同源策略跨越及解决方案 一、什么是同源策略 同源策略浏览器的一个安全功能,不同源的网页脚本在没有明确授权的情况下,不能读写对方资源。所谓同源是指 “协议+域名+端口” 三者相同 二、什么是跨域 使用AJAX技术(XMLHttpRequest 对象),从一个网页去请求另一个网页资源时,违反浏览器同源策略限制,引起的安全问题,称为跨域。 域名 主域名不同 http://www.baidu.com/index.html –>http://www.sina.com/test.js 子域名不同 ht
vue-print-nb 兼容低版本浏览器
11-28
4. **优雅降级**:对于确实无法支持的功能,`vue-print-nb` 可能采取优雅降级的策略,即在不支持某些功能的浏览器中提供基本的、功能简化的打印服务。 综上所述,`vue-print-nb` 是一个致力于解决Vue.js应用打印...
react-developer-tools.crx
07-31
react-google浏览器插件,用的时候先解压,官方源文件。react-google浏览器插件,用的时候先解压,官方源文件。react-google浏览器插件,用的时候先解压,官方源文件。react-google浏览器插件,用的时候先解压,官方...
最新nacos-server-2.2.0下载
12-29
Nacos是阿里巴巴开源的一款分布式服务治理和配置中心的框架,其名称源于“Naming And Configuration”的缩写。在最新的2.2.0版本中,Nacos提供了更强大的功能和优化的性能,尤其对于Windows用户的安装更加友好。...
Allow Right-Click-0.5.7.zip
最新发布
12-26
这是对浏览器功能的滥用,该功能旨在允许网站所有者提供他们自己的上下文菜单,而不是阻止用户访问浏览器的默认上下文。 描述: 重新启用在阻止它们的站点上使用上下文菜单、复制、粘贴和文本选择的可能性 这个扩展...
JS跨越问题解决方法
hsd2012的专栏
10-17 3534
一.同源策略的限制 首先,我们需要知道跨域就是在不同的域之间进行数据传输或通信。只要协议、域名、端口有任何一个不同,都被当作是不同的域。当要想跨域,就得理解浏览器同源策略限制。 其限制之一就是我们说的不能通过ajax的方法去请求不同源中的文档。 它的第二个限制是浏览器中不同域的框架之间是不能进行js的交互操作的。 关于第二个限制,比如,有一个页面,它的地址是http://www.findm
JSONP跨域的script标签请求为什么不受同源策略的限制?
badanjia8818的博客
09-03 883
在复习跨域的时候,复习到了JSONP跨域,大家都知道JSONP跨域是通过动态创建script标签,然后通过其src属性进行跨域请求的,前端需要一个数据处理的回调函数,而服务端需要配合执行回调函数,放入要传过来的数据 这时候问题来了,JSONP跨域的script标签请求为什么不受同源策略的限制? 这个问题可以这么回答: 首先,我们要理解什么是同源策略,它的作用是什么,它干了什...
同源策略以及出现的各类安全问题
Kr的博客
03-21 1725
同源策略(SOP) 源: 同’源’中的’源’:协议+域名+端口 只有两个页面具有相同的 协议+域名+端口,那么他们称之为同源。(子域名也不是同源的。例如:test.com和sub.test.com) 同源策略同源策略浏览器的一个安全模型,它规定了:不同源的两个客户端脚本在没有授权的情况下,不能读写对方的资源。(同时这里需要注意的一个概念:同源策略浏览器的一种安全措施,它并没有禁止脚本的执行...
同源策略与跨域方法小结
muxin_hgk的博客
02-16 799
一.同源策略    URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示它们是同源的。    浏览器同源策略限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性,从一个域上加载的脚本不允许访问另一个与的文档属性。    在浏览器中,<script><img><iframe><link&gt...
同源策略
03-28 841
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。 但是有src属性的标签不受同源策略的影响。比如script、img、iframe、link。相当于浏览器发送get请求。 但是原页面的js不能访问通过src加载的资源。这也是和XMLHttpRequest的重大区别。 对于浏览器来说:除了DOM、Cookie、XMLHttprequest会受到同源策略的限制外,浏览器加载的第三方插件也有各自
以下标签跨域加载资源(资源类型是有限制的)是不受同源策略限制的
冰点的博客
06-19 2389
<script src="...">`//加载图片到本地执行 <img src="..."> //图片 <link href="...">//css <iframe src="...">//任意资源
java面试经常问到的问题
IT宅
03-10 219
深入理解前端跨域方法和原理 前言 受浏览器同源策略的限制,本域的js不能操作其他域的页面对象(比如DOM)。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。所以我们要通过一些方法使本域的js能够操作其他域的页面对象或者使其他域的js能操作本域的页面对象(iframe之间)。 这里需要明确的一点是:所谓的域跟js的存放服务器没有关系,比如baidu.com的页面加载了google.com的js,那么此js的所在域是baidu.com而不是google.com。也就是说,此时该js能
关于同源与跨域问题,以及解决方法(八种)
MrLee的博客
06-26 7213
一,什么是跨域 就是跨域名,跨端口,跨协议 例如:如果有两个服务器服务器A和服务器B,服务器A上存储了php数据,script,甚至是css这些文件,而你在服务器B上只写了html,然后你所在的服务器B上动态创建script,css,php数据(使用ajax请求),向服务器A上请求你想要的script,css,php数请求据(使用ajax)这些文件,请求这些文件后,你再在服务器B上运行你的ht...
浏览器跨域策略与跨域请求
HuiL的博客
10-18 667
为什么需要限制跨域? 一:跨域请求存在的安全漏洞 CSRF跨站请求伪造: 二:同源政策 1.什么是同源?   源(origin)其实就是指的URL。而URL的组成是这样的: 常见的:http://www.jianshu.com/p/bc7b8d542dcd http :// www.jianshu.com /p/bc7b8d542dcd ${protocol}:// ${hos...
EVE-NG模拟器安装与使用教程
1. 登录EVE-NG Web界面:EVE-NG提供了基于Web的管理界面,通过浏览器访问虚拟机的IP地址(通常显示在虚拟机启动后的终端中),输入默认的用户名和密码(通常是admin/admin)登录。 2. 创建网络拓扑:在Web界面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值