讲讲关于跨域的问题,什么是跨域?怎么办?

最新推荐文章于 2024-07-20 18:16:53 发布
最新推荐文章于 2024-07-20 18:16:53 发布
阅读量1.1k 收藏 20
点赞数 22
分类专栏: 网络 Web 文章标签: 前端 网络安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mfysss/article/details/135522047
版权
Web 同时被 2 个专栏收录
35 篇文章 0 订阅
订阅专栏
网络
3 篇文章 0 订阅
订阅专栏

文章目录

以下内容为我结合他人知识进行的自我总结, 如有错误欢迎指出~

什么是跨域

跨域就是不同的域名下的资源访问,会被浏览器的本地安全策略阻止;
跨域是由浏览器的同源策略造成的,是浏览器施加的安全限制。是浏览器的一种保护机制,它的初衷是为了保证用户的安全,防止恶意网站窃取数据。

  • 同源:是指相同的协议(例如http、https等)、域名(例如www.baidu.com,其中www是子域名即服务器名,baidu.com是主域名即网站名)、端口(8080),三者都相同才属于同源。
  • 同源策略:指A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”,才能互相传递cookies,浏览器出于互联网安全考虑,不同源的网站之间是不能互相访问的;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
  • 跨域:由于浏览器同源策略,凡是发送请求的url的协议、域名、端口三者之间任意一个与当前页面地址不同则视为跨域。 (简单的讲法:不同域之间相互请求资源)。

设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的机器上设置了一个 Cookie,包含了一些隐私信息(比如存款总额)。用户离开 A 网站以后,又去访问 B 网站,如果没有同源限制,B 网站可以读取 A 网站的 Cookie,那么隐私信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。
在这里插入图片描述

如果非同源,共有三种行为受到限

1.无法获取非同源网页的 cookie、localstorage
比如A项目里 iframe(嵌入式框架) 了一个B项目,A跳转B项目时,浏览器本身的特点会自动检查两个域名是否同源,来判断是否能传递cookies给请求的B项目;除了不能传递cookie还是可以正常引用并跳转到B项目页面的,其实iframe的src就是浏览器顶部的url链接,拿到链接先去请求html,html编译后就是各种DOM树标签对象,也能请求接口等资源,因为在B自己的项目中,那如何避免DOM- iframe被访问呢,就用到第二点、如何避免A如果直接调B接口,就用到第三条;如果想要让AB传递cookies,则需要特别设置,比如AB两个项目都通过设置document.domain为相同的父级域名,则不会跨域了,两个项目交互时都会检查domain是否一致;前提需要AB主域名相同,否则设置了domain也没有用,不过前端可以通过postMessage,实质是HTML5的API,不同域下的页面在满足一定关系的条件下可以通过此API跨域传送数据,即传送cookies等信息;

2.DOM同源策略即,无法访问非同源网页的 DOM (iframe)
即B被嵌入到A的iframe中的时候,可以正常打开B页面渲染html,但是A无法获取B页面的DOM树以及请求的数据;如果配置了X-iframe-option=拒绝,那么页面是打不开的,可以防止点击劫持;

3.Ajax 的同源策略(即请求接口时判断是否同源,不同源则不允许请求);
无法向非同源地址发送 AJAX 请求 或 fetch 请求(可以发送,但浏览器拒绝接受响应),因为浏览器自己的机制会检测是否同源,不同源的话,会发送跨域请求给后端,后端再给予该请求返回Access-Control-Allow-Origin,根据Access-Control-Allow-Origin配置的域名,来判断是否允许进行ajax接口请求,如果没有配置跨域资源共享(CORS)机制,那么会报错如下图:
在这里插入图片描述

贴一个 cors跨域请求的处理过程:https://www.cnblogs.com/xfenfen/p/9378393.html

然后我们要明确一个问题, 请求跨域了,请求到底发出去没有?答案是肯定发出去了,但是浏览器拦截了响应

浏览器客户端和向服务器跨域请求的判定流程

  1. 浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。

  2. 服务器解析程序收到浏览器跨域请求后,根据自身配置返回对应文件头即addHeader(‘Access-Control-Allow-Origin:*’);//允许所有来源访问 。若未配置过任何允许跨域,则文件头里不包含Access-Control-Allow-origin字段,若配置过域名,则在response header中返回Access-Control-Allow-origin+ 对应配置规则里的域名的方式。Access-Control-Allow-Origin指定支持访问的域名,不指定的网站不能访问;

  3. 浏览器根据接受到的http文件头里response header的Access-Control-Allow-origin字段做匹配,若无该字段,说明不允许跨域;若有该字段,则对字段内容和当前想要请求后端服务的来源域名Origin:https://cloud.mengxiang.com做比对,如果同源,则说明可以跨域,浏览器发送该请求;若不同源,则说明该域名不可跨域,不发送请求

(但是不能仅仅根据服务器返回的文件头里是否包含Access-Control-Allow-origin来判断其是否允许跨域,因为服务器端配置多域名跨域的时候,也会出现不能跨域的域名返回包里没有Access-Control-Allow-origin字段的情况。下文配置说明里会讲。)

注:header中Access-Control-Allow- credentials该项标志着请求当中是否包含cookies信息

跨域问题演示

下面链接的博客中演示了如何跨域 和 如何解决跨域问题
面试突击81:什么是跨域问题?如何解决?

参考

关于cookies网站跨域单点登录的原理
cookie的作用域以及跨域设置

没反应说说说
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
跨域问题(什么是跨域问题、如何解决)
weixin_42073002的博客
12-08 1173
1、什么是前后端分离架构 springmvc前后端在一个项目中不存在跨域问题。 web系统的开发,springmvc三层架构: controller 控制层 service 业务逻辑层 dao数据访问层 微服务架构:专业的人干专业的事 前端 vue,ajax技术调用接口 后端java,go,php提供接口 2、什么是网站跨域问题 前端(vue)调用接口 -->ajax技术 -->后端(springboot)的接口不在同一个域下就产生跨域问题 浏览器的安全策略:遵循同源策略,协议、地址、端口
什么是跨域问题?如何解决?
Stestack的博客
10-31 139
这个问题的答案也很简单,我们之前在说跨域时讲到:“跨域问题本质是浏览器的行为,它的初衷是为了保证用户的访问安全,防止恶意网站窃取数据”,那想要解决跨域问题就变得很简单了,只需要告诉浏览器这是一个安全的请求,“我是自己人”就行了,那怎么告诉浏览器这是一个正常的请求呢?优缺点分析此方式虽然虽然实现(跨域)比较简单,但细心的朋友也能发现,使用此方式只能实现局部跨域,当一个项目中存在多个类的话,使用此方式就会比较麻烦(需要给所有类上都添加此注解)。跨域问题指的是不同站点之间,使用 ajax 无法相互调用的问题
什么是跨域?一文弄懂跨域的全部解决方法
热门推荐
06-05 1万+
什么是跨域?一文弄懂跨域的全部解决方法
什么是跨域问题跨域问题怎么解决?
weixin_44577346的博客
03-28 2044
一、什么是跨域? 当前发起请求的域与该请求指向的资源所在的域不一样,就是跨域。 这里所说的域是指协议+域名+端口号,如果这三者都完全一致,则是同域请求,只要有一个不同,就是跨域请求。 二、预检请求 浏览器发送请求时,会判断是什么请求,如果是简单请求,直接执行服务端程序。如果是非简单请求,会发送预检请求,服务器成功响应预检请求后,才会发送真正的请求,携带真实的数据。 简单请求 满足下列所有条件,就属于简单请求。 请求方式为:GET、POST、HEAD HTTP头部信息为以下几种: 无自定义头部字段 A
汽车电子电气架构发展趋势是什么?
02-23
博世(顶级供应商):未来汽车电子电气架构趋势这是一张只要讲电子电气架构就会看到的图片,也是一张很难得到清晰版本的图片。虽然不清晰,但是我们仍然很明显能看明白,在博世的EE架构演进规划中最核心的思想就是...
Django+vue跨域问题解决的详细步骤
12-10
【Django+Vue跨域问题解决的详细步骤】 在现代Web开发中,由于前后端分离的设计模式,前端和后端通常在不同的IP或端口上运行,这可能导致跨域问题跨域,从广义上讲,是指一个域下的文档或脚本尝试访问另一个域下...
SpringBoot第 6 讲:SpringBoot+jersey跨域文件上传
10-10
总结一下,这个"SpringBoot第6讲:SpringBoot+jersey跨域文件上传"教程主要涵盖了以下几个知识点: 1. Spring Boot的基本概念和自动配置。 2. Jersey作为JAX-RS规范的实现,以及如何在Spring Boot中集成Jersey。 3....
Vue中跨域及打包部署到nginx跨域设置方法
01-19
什么是跨域?实现跨域的多种方式? 这里我就不详细介绍了,大家自行百度哈 为什么要实现前端跨域 一般来讲,前后端分离的项目在大公司都会由后台设置允许跨域访问,因为后台设置允许跨域是很简单和方便的,但是某些情况下,...
javascript-cros:跨域的一些问题和方法总结
05-26
为什么要跨域? ##何谓同源: URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。简单哪来说就是域名,协议,端口都相同。 同源策略(Same origin policy): 浏览器的同源策略,...
前端面试题日常练-day97 【Less】
最新发布
qq_44640575的博客
07-20 267
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1027
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 472
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
【Web前端技术 01】 探索HTML5的奥秘:为初学者打造网页的基石
Wc&Yd博客
07-16 896
探索HTML5奥秘,本文带初学者迈入网页设计大门。详解HTML5文档结构、语义化标签、新增API,助您构建现代网页,激发学习兴趣,开启开发之旅。
博客前端项目学习day03——框架页
qq_53237241的博客
07-19 264
【代码】博客前端项目学习day03——框架页。
前端性能优化--懒加载
weixin_43799793的博客
07-19 89
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
谷粒商城实战笔记-35-前端基础-ES6-模块化
epitomizelu的专栏
07-20 300
模块化就是把代码进行拆分,方便重复利用。类似 java 中的导包:要使用一个包,必须先导包。JS 中没有包的概念,JS中类似的概念是模块。export和import。export命令用于规定模块的对外接口。import命令用于导入其他模块提供的功能。
vue3前端开发-如何让自己的网站适合SEO排名规则
yrldjsbk的博客
07-17 183
我们大家都知道,原始出生的vue3项目,原始代码层面,是没有meta标签的,也就是说,不适合SEO排名规则。SEO排名规则,蜘蛛爬虫抓取网站页面的内容,就会把这种meta标签内容进行采集,匹配。但是,这个技术要求大家还是应该知道的。黑马教育,课程,前端课程案例项目:小兔鲜儿超市,vue3前端项目案例。想学习vue3前端开发,拿来练习,实战的朋友们,值得一看哦。这个代码,就是我自己手工录入的。录入后,再次在浏览器界面刷新请求服务器。返回的代码模块就可以看见了。自己刚刚手工录入的meta信息出现了。
处理跨域的方法有哪些?具体展开讲讲
03-08
处理跨域的方法有以下几种: 1. JSONP:通过动态创建 script 标签,将需要获取的数据作为参数传递到服务器端,服务器端返回一个函数调用,将数据作为参数传递回来。 2. CORS:在服务器端设置响应头 Access-Control...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值