跨域与CORS、JSONP

最新推荐文章于 2023-05-02 23:18:42 发布
最新推荐文章于 2023-05-02 23:18:42 发布
阅读量202 收藏
点赞数
文章标签: json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72552013/article/details/126865779
版权

跨域与CORS、JSONP

同源策略

要了解什么是跨域,首先要了解浏览器的同源策略。浏览器为了防止不同源之间进行非法的数据请求,而规定的策略,也就是说,浏览器限制了不同源之间的数据请求,使两个不同源网站不能进行非法的沟通。
我们首先要了解源的定义:
任何一个网页打开window.origin或location.origin可以得到当前源
源=协议+域名+端口号
如果两个url的

  • 协议
  • 域名
  • 端口号
  • 完全一致,那么这两个url就是同源的

比如

  • https://qq.com、和http://www.baidu.com不同源
  • https://baidu.com、https://www.baidu.com 不同源
  • 完全一致才算是同源

为什么我们需要同源策略呢?
原因有以下几点:

  • 对于一个文件的请求,发的请求几乎没有区别,只有referer有区别
  • 如果后台开发者没有检车referer,那么就完全没有区别
  • 为了防止有些不靠谱的后端,浏览器就自己弄了一个最开始的保护

同源策略带来了许多安全方面的好处,可以很好的保护用户隐私,但实际上保护用户隐私不止这一环,还有许许多多的要求,但这里是整个安全链条最开始的部分之一。

什么是跨域?CORS?JSONP?

当两个不同源之间想要进行数据访问,通过一些技术手段实现,这个过程就是叫跨域。
目前的跨域方式有许多种,常见也是最经典的方式就是CORS和JSONP两种。

CORS

CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP 头组成,这些 HTTP 头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。
那么如何使用CORS进行跨域呢?
只需要两步,假如想要获取数据的网站叫做http://cors.com:8888,想要获取到http://shuju.com:9999/code.json这个路径的数据:
第一步,先要到cors.com这个网站中修改XMLHttpRequest对象上修改它的open路径,路径为http://shuju.com:9999/code.json,一定要一模一样,否则不能请求成功。
第二歩,到shuju.com这个网站中的服务器文件中修改响应头,增加一个setHeader,全部内容为:

response.setHeader('Access-Control-Allow-Origin','http://cors.com:8888')

路径也要和请求网站完全一致,包括端口号,只要写成这样就可以成功用CORS跨域了。

如果有两个网站是不是也要这么写呢?
多个网站一般是读取网站的referer,也就是request.headers['referer']然后再判断是否来自这个网站即可。
至此,CORS讲完了,CORS就是这样简单。
但是有一个很大的问题,那就是IE不支持。。。<

最低0.47元/天 解锁文章
写代码的陈道长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文了解JSONPCORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域
代码讲故事
01-29 137
一文了解JSONPCORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域。
前端利用JSONP实现跨域从服务器请求数据的原理
m0_60279917的博客
10-14 299
作为一名前端程序员,我们知道客户端要向服务获取数据可以利用XHR发送Ajax。而浏览器是有安全协议的,我们是没办法跨域请求数据的。所谓跨域就是协议、地址、端口号三者有一个不一样就是跨域前端解决这个问题有什么办法呢? 上面说到向服务器请求数据可以发送Ajax,其实前端标签里面的src属性也是可以向服务器请求数据的。比如img标签里的src属性里面,可以放本机上的图片地址,也可以贴一段百度图片的网图地址,src将百度服务器里面的网图请求回来的这个过程实际就是一个跨域请求。 //src属性里贴一段百度图片
http referer 验证防御方法_常见WEB漏洞:JSONP安全与防御
weixin_40003451的博客
11-29 413
01 JSONP1.1 JSONP的概念浏览器的同源策略使得比如 http://www.a.com 的网站没法直接获取 http://www.b.com 的相关数据,那么假如在一些应用场景一定要获取怎么办?JSONP就是一种解决方式,所以说它是解决跨域请求资源而产生的解决方案。1.2 JSONP场景示例类似腾讯或者网易这种大公司,通常采用一套用户系统,在一个地方登陆,其他地方就免登陆,那么专门用作...
ajax未捕获Reference,使用JSONP的ajax调用返回错误未捕获的ReferenceError:jquery19102754115150310099_1392753827782未定义...
weixin_39875031的博客
08-06 124
这个链接中的小提琴不起作用,即使我做了一些代码更新。我在Ajax调用方面很弱,需要帮助理解为什么这不起作用。原来的小提琴被列在连结http://jsfiddle.net/uv5AG/我已经在一个新的jsfiddle这是更先进的日期,除AJAX调用工作修改它。它在:http://jsfiddle.net/n4gy3/Gf3gW/3/我的用例是我想使用GitHub站点中记录的功能,使用asyncDep...
JSONP跨域访问漏洞
最新发布
Echo__h的博客
05-02 705
构造如下页面,创建恶意链接诱使用户点击,即可获取用户的信息// 调用stringfy方法,将JSON对象转换为字符串 alert(JSON . stringify(args));//"> // %2B为+ %26为& < / script >模拟用户访问,成功将cookie和url地址添加到数据库。
ajax跨域CORS方案 JSONP跨域请求方案.zip
01-06
本文将深入探讨两种主要的跨域解决方案:CORS(Cross-Origin Resource Sharing)和JSONPJSON with Padding)。 ### CORS方案 CORS是一种现代浏览器支持的跨域策略,允许服务器声明哪些源可以访问其资源。服务器...
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!...使用目的: JSONPCORS的使用目的相同,并且都需要服务端和
SpringBoot跨域JsonpCors的方法
10-16
JSONP不同,CORS允许POST、PUT等各种HTTP方法,并能处理复杂的数据类型。CORS分为简单请求和非简单请求,简单请求包括GET、POST、HEAD且Header限制在一定范围内,非简单请求则需要预检请求(OPTIONS)。 在...
跨域解决方案Jsonp原理解析
10-15
# 跨域解决方案:Jsonp原理解析 ...随着CORS(跨源资源共享)的普及,现代Web开发更多地倾向于使用CORS来实现更安全、功能更强大的跨域数据交换。然而,对于兼容老版本浏览器或特定场景,Jsonp仍然是一个实用的选择。
如何改变请求的host以及referer抓取做了host以及referer限制的接口数据
热门推荐
一位不知名小前端的一些笔记
05-01 1万+
注:这篇文章为2017年10月发布,可能qq音乐已经做了更改,本例子不一定适用,仅供参考。(提示于:2018-05-01)最近在做一个抓取qq音乐接口数据的音乐App,使用vue开发,数据都从qq音乐中抓取,开发过程中遇到一个问题,比如以下接口:https://c.y.qq.com/splcloud/fcgi-bin/fcg_get_diss_by_tag.fcg?g_tk=1928093487&...
CDN;什么是Referer?什么是CORS
leek5533的博客
03-09 1123
什么是Referer Referer是HTTP Header的一部分,当浏览器向Web服务器发送请求时,一般会带上Referer,告知服务器从哪个页面链接过来的。 Referer的作用 防盗链。比如,网站访问自己的图片服务器,图片服务器取到Referer来判断是不是自己的域名,如果是就继续访问,不是则拦截。 数据统计。比如,统计用户是从哪里链接过来访问的。 什么是空Refe...
【39】WEB安全学习----Jsonp跨域安全
尚未佩妥剑 转眼便江湖
10-25 959
同源策略 同源策略/SOP是一种约定,它是浏览器最核心也最基本的安全功能,所谓同源是指"协议+域名+端口"三者相同。 同源策略限制以下几种行为: 1、Cookie、LocalStorage 和 IndexDB 无法读取 2、DOM 和 Js对象无法获得 3、AJAX 请求不能发送 跨域解决方案 jsonp跨域 跨域资源共享(CORSjsonp 浏览器不会拦截调用外部静态文件请求,也就是sr...
js修改 referer_GET请求Referer限制绕过总结
weixin_33898154的博客
01-20 3856
前言在做测试的时候会遇见这样几个漏洞场景:JSONP跨域劫持反射XSSGET请求类型攻击但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢?正文什么是Referer?Referer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上文所说的场景,遇见了Re...
GET请求Referer限制绕过总结
dfdhxb995397的博客
08-06 956
作者:Vulkey_Chen 原文来自:GET请求Referer限制绕过总结 前言 在做测试的时候会遇见这样几个漏洞场景: JSONP跨域劫持 反射XSS GET请求类型攻击 但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢? 正文 什么是Referer? Referer是请求头的一部分,假设A站上有B站的链接,在A...
跨域CORSJSONP
baidulixueqin的博客
02-15 1222
跨域CORSJSONP(面试必考) ajax和Promise的跨域问题 跨域一般用2种方案JSONPCORS 跨域 前端与后端的交互。 关键知识 1.同源策略 浏览器故意设计的一个功能限制 2.CORS 突破浏览器限制的一个办法 3.JSONP IE时代的妥协 一.同源策略 1.同源定义 源 控制台输入window.origin或location.origin可以得到当前源 源=协议+域名+端口号 如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。 举例 https://
跨域请求(jsonp,请求头)
spfLinux的博客
12-13 5020
1、简单方式1(jq) Document $.ajax({ type:"get", url:"http://127.0.0.1/weather3.php", dataType:"jsonp" }).then(data=>{ document.write(data); }) <?php @$fun=$_REQUEST["
jsonp跨域的安全问题
Daisy花园
04-24 8913
JSONP没有关于错误调用的处理,一旦回调函数失败,浏览器就会以静默失败的方式处理。 只支持GET请求 安全性问题 1、Callback可自定义导致的安全问题Content-type与XSS漏洞 再输出 JSON 时,没有严格定义好 Content-Type( Content-Type: application/json )然后加上 callback 这个输出点没有进行过滤直接导致了一个典型的 X
JSONP注入解析
luyaran的博客
02-18 3139
前言 JSONP注入是一个不太常见但影响非常广泛且极危险的漏洞,由于最近几年对JSON, web APIs以及跨域通信的需求增多,不得不引起我们的重视。 什么是JSONP 这里我们假设大家都了解JSON为何物,以此为基础我们来谈谈JSONPJSONP全名为JSON with Padding,其存在的意义便有绕过诸如同源策略强制执行XMLHttpRequest(AJAX requests)。
javascript跨域的方法汇总.docx
01-19
CORS是服务器与浏览器之间进行跨域通信的一种机制,它需要服务器端进行特殊的设置来支持跨域请求。CORS相比JSONP更加安全和灵活,并且支持各种类型的HTTP请求。 除此之外,本文还介绍了通过代理、nginx反向代理和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值