同源策略&跨域

已于 2022-04-21 09:59:11 修改
阅读量2.8k 收藏 31
点赞数 6
文章标签: 前端 ajax
于 2022-04-21 09:50:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67841039/article/details/124313506
版权

了解同源策略&跨域

1.什么是同源
同源指的是两个 URL 地址具有 相同的协议 主机名 端口号
例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个 同源检测 结果:
2.什么是同源策略
同源策略 (英文全称 Same origin policy)是 浏览器 提供的一个 安全功能
浏览器 同源策略 规定:不允许 非同源的 URL 之间进行 资源的交互
3.什么是跨域
同源 指的是两个 URL 的 协议 主机名 端口号 完全一致,反之,则是 跨域
出现跨域的根本原因: 浏览器的同源策略 不允许非同源的 URL 之间进行资源的交互。例如:
网页:http:// www.test.com /index.html
接口:http:// www.api.com /userlist
受到同源策略的限制, 上面的网页 请求 下面的接口 会失败

4.浏览器对跨域请求的拦截过程(特别重要)

浏览器允许发起跨域请求。但跨域请求回来的数据,会被浏览器拦截,无法被页面获取到! 示意图如下:

 5.突破浏览器跨域限制的两种方案

JSONP CORS 是实现 跨域数据请求 的两种技术方案。

注意:目前 JSONP 在实际开发中很少会用到CORS 是跨域的主流技术解决方案。

CORS

1..CORS 的概念
CORS 解决跨域数据请求 终极 解决方案,全称是 C ross- o rigin r esource s haring。
CORS 技术需要 浏览器 服务器 同时支持,二者缺一不可:
① 浏览器要 支持 CORS 功能(主流的浏览器全部支持,IE 不能低于 IE10)
② 服务器要 开启 CORS 功能(需要 后端开发者 为接口开启 CORS 功能)
请大家思考:实现 CORS 的关键,是在 客户端 还是在 服务器端
答案: 服务器端
原因:如果服务器端没有开启 CORS 功能,则客户端无法访问那些跨域的接口!

2.CORS 的原理
服务器端通过 Access-Control-Allow-Origin 响应头,来告诉浏览器 当前的 API 接口 是否允许跨域请求。

 

3.CORS 的两个主要优势
① CORS 是 真正的 Ajax 请求 ,支持 GET、POST、DELETE、PUT、PATCH 等这些常见的 Ajax 请求方式
② 只需要后端开启 CORS 功能即可,前端的代码无须做任何改动
注意:我们之前做过的案例中,所有调用的接口 均已在服务器端开启了 CORS 功能
例如:聊天机器人案例、新闻列表案例、用户登录案例

JSONP

1.什么是 JSONP
JSONP 实现跨域数据请求 的一种技术解决方案。它 只支持 GET 请求 ,不支持 POST、DELETE 等其它请求。
在实际开发中很少被使用
在面试中可能会问到 JSONP 的原理
2.JSONP 不是真正的 Ajax 技术
在解决跨域问题时:
CORS 方案 用到了 XMLHttpRequest 对象,发起的是纯正的 Ajax 请求
JSONP 方案 没有用到 XMLHttpRequest 对象,因此, JSONP 不是真正的 Ajax 技术
结论:只要用到了 XMLHttpRequest 对象,发起的就是 Ajax 请求!

3.JSONP 的底层实现原理(重要-面试会问)

JSONP 在底层,用到了 <script> 标签的 src 属性!
原因:
<script> 标签的 src 属性, 不受 浏览器 同源策略的限制
可以把 非同源的 JavaScript 代码 请求到本地,并执行

总结:

奋斗吧程序媛
关注
  • 6
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略访问
qgw_2000的专栏
05-03 3670
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
同源策略
zhuxuerong的博客
11-12 116
URL(Uniform Resource Locator,统一资源定位符)???? URL由三部分组成:资源类型、存放资源的主机名、资源文件名。 也可认为由4部分组成:协议、主机、端口、路径 URL的一般语法格式为:(带方括号[]的为可选项): protocol://hostname[:port]/path/[;parameters][?query]#fragment protocol(协议) 指定使...
同源策略(same origin policy)
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(名)、和端口号。只有当协议、主机、
同源策略
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
什么是同源策略
weixin_70437515的博客
06-28 9313
概述:先来看看 名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源同源策略限制内容有:但是有三个标签是允许加载资源:并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
同源策略是什么?作用是什么,三要素,解决方法
白帽黑客佳哥的博客
12-12 2122
同源策略是Web安全的一个基本概念,它由浏览器实施,用来限制一个源(origin)的文档或脚本如何与另一个源的资源进行交互。它是一个关键的安全措施,用于隔离潜在恶意文件,防止恶意网站窃取数据。
什么是同源策略
肥晨开发的学习之路
06-15 932
同源策略在处理访问时具有严格性,一旦违反同源策略,浏览器会阻止操作,包括对 DOM 的访问、Ajax 请求和共享资源等。如果不受同源策略的限制,攻击者可以在一个受信任的网站上注入恶意脚本,从而获取用户的敏感信息、篡改页面内容或进行其他恶意行为。同源策略是浏览器为了保护用户安全而采取的一项安全措施,限制了不同源下文档或脚本之间的交互操作,但通过一些例外机制如 CORS,可以实现有限的资源共享。同源策略是指浏览器的一种安全机制,用于限制来自不同源(即、协议或端口)的文档或脚本之间的交互操作。
深入浅析同源策略访问
11-22
&nbsp;理解首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略&nbsp;何谓同源: &nbsp;URL由协议、名、端口和路径组成,如果两个URL的协议、名和端口相同,则表示他们同源&nbsp;同源...
JavaScript同源策略访问实例详解
10-18
JavaScript同源策略访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、名和端口完全相同时,...
同源策略++jsonp+cors
08-29
同源策略以及解决的两种方式
【浏览器安全机制】一文带你了解同源策略(Same origin policy)及请求
等风来
08-24 7365
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
同源策略简介
qq_51515209的博客
11-28 985
同源策略简介
同源策略的解决方案
失眠时间的博客
05-12 1741
总所周知,同源策略是导致的原因,那么什么是同源策略,又可以如何解决的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
同源策略 &&
yechongchong的博客
07-14 1087
在浏览器中,保证访问数据安全 的基础就是同源策略同源策略的三大要素:协议相同、名相同、端口 相同。 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本 如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源的定义:如果两个URL的 protocol、port(en-US)(如果有指定的话)和host都相同的话,则这两个URL是同源。这个方案也被称为“协议/主机/端口元祖”,或者直接就是“元祖”。(“元祖”是指一组项目构成的整体,双重/三重/
10-2-同源策略
MichaelAn的博客
02-13 385
10-2-同源策略 第十章 BOM 2021-11-24 简单过一次 10.7 同源策略 Same-origin 介绍 起源:不同源的网页不能打开cookie。 同源:协议名端口都相同。 目的:保证用户数据的安全,防止恶意网站窃取用户数据。 现在:无法获取非同源网页的cookie,localStorage,I...
同源策略解决方案——JSONP、CORS、代理(vue-cli脚手架搭建代理服务器)
m0_55734628的博客
08-29 2113
在简单请求中,只要满足简单请求的要求,一般情况下,是不怎么需要服务端去进行配置的,除了Access-Control-Allow-Origin这个字段是必备的OPTIONS请求作为预检请求,就算请求方法没有在Access-Control-Allow-Methods规定范围内也不会出现错误,但是我们不能自己发送OPTIONS请求CORS设置涉及到后端和前端的配合。后端通过设置响应头来允许特定的请求,而前端则需要确保请求头中包含适当的信息。这样可以保障安全地进行资源访问参考文档:MDN。
什么是同源策略--详解
qq_43595018的博客
12-27 1051
同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。如果缺少了同源策略浏览器的安全使用会受到很大的影响。可以说web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。前面说,同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,那么是什么?
同源策略是什么
最新发布
04-25
同源策略是Web开发中的两个重要概念。 (Cross-Origin)指的是在浏览器中,当一个网页的脚本试图访问不同源名、协议或端口)的资源时,就会发生请求。同源策略(Same-Origin Policy)是浏览器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值