跨域问题的正确理解

最新推荐文章于 2024-06-06 18:07:50 发布
最新推荐文章于 2024-06-06 18:07:50 发布
阅读量827 收藏 8
点赞数 5
分类专栏: web应用开发 文章标签: 跨域 同源策略 cookie 单点登录 前后端分离
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miaoyibo12/article/details/88549774
版权

首先第一个问题是:跨域问题是谁导致的?
答案是浏览器。一切的罪魁祸首是一种叫 浏览器的同源策略 导致的。
有想深入了解的可以参考这篇文章https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

第二个问题:什么样的场景才算是跨域?
这里要强调的一件事是,所有的请求都是由用户使用的浏览器发起的。网上有种不严谨的说法:网站www.xxx.com向www.yyy.com发起请求会出现跨域问题。这种说法给人一种误导,似乎跨域是在两个不同域名服务器之间发生的。
网页资源从自己的服务器到达用户电脑后,都是运行在用户浏览器中的,所以请求也是由浏览器发起的。
当网页中js脚本含有对网络中其他服务器的请求时,浏览器会判断脚本所在网页的域名和要请求的url地址的域名是否相同,如果不一致,就会提示跨域。

引申问题:
1、为什么网页中的超链接没有跨域问题?
2、form表单提交为什么没有跨域问题?
这两个问题都属于网页间的跳转,而只有是向其他服务器请求数据时,才会受到同源策略的影响。

附图:一种没有同源策略限制带来的风险
在这里插入图片描述
跨域问题会发生在第4步,如果没有同源策略的限制,因为同样是对A网站的请求,所以这一步请求发起时,浏览器会把第2步保存下来的cookie也携带过去,那么B网站的脚本就可以获取到用户在A网站的账号密码等信息,然后进行其他不安全的操作,比如发回自己的服务器等。

miaoyibosysu
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
html超链接跨域名跳转,Cypress web自动化20-a标签超链接跨域问题
weixin_39595430的博客
06-03 877
前言cypress 上默认访问一个跨域的网页会出现异常:Cypress detected a cross origin error happened on page loadA cross origin error happens when your application navigates to a new URL which does not match the origin policy ...
解决跨域问题
m0_57712926的博客
09-05 274
目录前言一、为什么会出现跨域问题?1. 什么是跨域?2. 没有跨域出现的问题二、解决方式1. jsonp2. CORS(跨域资源共享)3. 反向代理4. window + iframe总结 前言 一、为什么会出现跨域问题? 1. 什么是跨域? 指的是浏览器不能执行其他网站的脚本,它是由浏览器的同源策略造成的,是浏览器对 2. 没有跨域出现的问题 javascript 施加的安全限制,防止他人恶意攻击网站 比如一个黑客,他利用 iframe 把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名和
解决个别浏览器在使用window.location.href跳转时,如果遇到某些安全限制,会对跳转的URL进行编码,导致跳转到一个编码后的URL
cm2010_03_31的博客
08-18 1943
有一个网页https://www.e.cn/EE/a,进入网页以后直接运行window.location.href=https://www.b.cn/aa/bb,测试是可以正常跳转的,但是个别用户比如使用了360浏览器,在有些情况下会跳转到https://www.e.cn/EE/https%3A%2F%2Fwww.b.cn%2Faa%2Fbb,导致没有跳转成功访问失败。使用decodeURIComponent()函数对跳转的URL进行解码,以确保URL被正确地跳转。
浏览器同源机制,点击超链接是跨域访问吗?
最新发布
wxy198的博客
06-06 225
同源策略主要针对的是被动的、用户主动发起的跨域资源访问行为,比如一个网页上的JavaScript试图向另一个域名发送AJAX请求。所以,单纯的点击超链接跳转并不算跨域访问,不会受到同源策略的限制。跨域访问通常发生在脚本、AJAX请求、嵌入的资源等涉及后端数据交互的场景中。跨域访问是指一个网页上的脚本或资源(如图片、字体等)尝试访问与该页面不同源的资源。这种跨源的资源访问会受到浏览器的同源策略限制。而点击超链接只是进行了页面跳转,这种行为不涉及跨域资源访问,因此不会受到同源策略的限制。
正确的理解跨域
Odboy
12-28 273
跨域的域:指的是和当前页面的域不同,如果页面使用IP,ajax也使用相同的IP,就不会发生跨域了 比如说:我的web应用的域名为www.odboy.cn,我在页面内部请求www.odboy.cn的某一个接口,此时是同域调用,如果我请求的是www.baidu.com,那么此时就属于跨域调用. Cookie是个用来描述跨域现象最好的例子,因为Cookie的作用仅在当前域名下,跨域就不能取到对应的值了。...
【PWA学习与实践】(9)生产环境中PWA实践的问题与解决方案
weixin_33834628的博客
05-26 260
《PWA学习与实践》系列文章已整理至gitbook - PWA学习手册,文字内容已同步至learning-pwa-ebook。转载请注明作者与出处。 本文是《PWA学习与实践》系列的第九篇文章。 PWA作为时下最火热的技术概念之一,对提升Web应用的安全、性能和体验有着很大的意义,常值得我们去了解与学习。对PWA感兴趣的朋友欢迎关注《PWA学习与实践》系列文章。 引言 在前八篇文章中,我已经...
跨域问题
qq_43615701的博客
07-12 194
什么是跨域 浏览器使用ajax时,如果请求的接口地址和当前打开的页面 地址 不同源 称之为跨域 ajax:浏览器只有使用ajax发送请求才会出现跨域href属性雨src属性不会出现跨域 接口地址:ajax请求的url 打开的页面:当前页面的window.location.href同源:浏览器使用ajax,向不同源的接口发送请求,称之为跨域访问 同源 同源定义:两个url地址的协议与主机与端口一致 协议:http,https,file 主机:域名或者ip地址 端口:3000,4399 不同源
GeoServer跨域问题.zip
10-21
总的来说,解决GeoServer的跨域问题需要理解Web安全策略、CORS机制以及如何配置GeoServer的底层Jetty服务器。通过适当的配置,我们可以确保Web应用程序能够顺利地与GeoServer进行跨域通信,同时保持必要的安全性。
Cesium加载Geoserver跨域问题
10-15
总结一下,解决Cesium加载Geoserver跨域问题的关键在于正确配置Geoserver的CORS策略,允许Cesium所在的源进行请求。同时,理解Web开发中的同源策略跨域资源共享机制对于处理这类问题常重要。通过遵循上述步骤,...
Geoserver跨域问题解决方案
12-06
总的来说,解决Geoserver跨域问题需要理解浏览器的同源策略和CORS机制,并正确配置相应的库和过滤器。通过这个过程,我们可以为不同的客户端提供安全、可靠的跨域数据访问,从而实现更灵活的GIS应用。
Python项目跨域问题解决方案
12-17
本篇文章将详细解释如何解决Python Django项目的跨域问题。 首先,我们来看第一个解决方案,通过`ALLOWED_HOSTS`配置。在Django项目的`settings/dev.py`文件中,你可以定义`ALLOWED_HOSTS`列表,列出允许访问后端...
html静态页面,实现跨域访问
05-16
请用google浏览器打开,页面百分比缩小到百分之三十再访问。 1、 请在服务器上部署附件war 2、 将【两个工程.zip】压缩包中的webChart.war和jdbc2json.war上传至apache-tomcat-8.0.33/webapps下 3、 启动tomcat,~/apache-tomcat-8.0.33/bin/start.sh
cesium跨域加载问题
02-20
在Cesium客户端代码中,确保你的请求正确处理了跨域问题,例如设置`withCredentials`为`true`以发送认证信息: ```javascript var viewer = new Cesium.Viewer('cesiumContainer', { // ... creditContainer: '...
前端面试系列之跨域
weixin_45316326的博客
04-16 495
前端跨域问题相信很多朋友都遇到过,很多时候我们都是直接交给后端来解决。那么为什么会出现跨域问题呢?后端是如何解决跨域问题? 什么是跨域? 广义的跨域包括: 资源跳转:超链接跳转、重定向、表单提交 资源嵌入:link、ifram、script、img,以及css样式中的background:url()、@font-face()等外链接 脚本请求:js的ajax请求、js或DOM 中的跨域操作 狭义的跨域:指浏览器同源策略限制的请求。我们通常所说的也指的是这种。 同源策略是一个重要的安全策略,它用于限制一
Springboot---实现跨域请求(CORS)
zhangpower1993的博客
04-14 1338
1. CORS介绍 2. 实现 CORS 跨域请求的方式 2.1返回新的 CorsFilter(全局跨域) 2.2 重写 WebMvcConfigurer(全局跨域) 2.3 使用注解@CrossOrigin(局部跨域) 2.4 手动设置响应头(局部跨域) 1. CORS介绍 跨域资源共享向来都是热门的需求,我们可以使用 CORS 来快速实现 跨域访问,只需要在服务...
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
JS跨域详解与解决方案
"JS跨域总结" JS跨域是指JavaScript尝试访问与当前页面不同源(协议、域名或端口)的资源时遇到的一种安全限制,这是由浏览器的同源...理解并正确使用这些跨域技术,对于构建高性能、高可扩展性的Web应用至关重要。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值