跨域问题的正确理解

首先第一个问题是:跨域问题是谁导致的?
答案是浏览器。一切的罪魁祸首是一种叫 浏览器的同源策略 导致的。
有想深入了解的可以参考这篇文章https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

第二个问题:什么样的场景才算是跨域?
这里要强调的一件事是,所有的请求都是由用户使用的浏览器发起的。网上有种不严谨的说法:网站www.xxx.com向www.yyy.com发起请求会出现跨域问题。这种说法给人一种误导,似乎跨域是在两个不同域名服务器之间发生的。
网页资源从自己的服务器到达用户电脑后,都是运行在用户浏览器中的,所以请求也是由浏览器发起的。
当网页中js脚本含有对网络中其他服务器的请求时,浏览器会判断脚本所在网页的域名和要请求的url地址的域名是否相同,如果不一致,就会提示跨域。

引申问题:
1、为什么网页中的超链接没有跨域问题?
2、form表单提交为什么没有跨域问题?
这两个问题都属于网页间的跳转,而只有是向其他服务器请求数据时,才会受到同源策略的影响。

附图:一种没有同源策略限制带来的风险
在这里插入图片描述
跨域问题会发生在第4步,如果没有同源策略的限制,因为同样是对A网站的请求,所以这一步请求发起时,浏览器会把第2步保存下来的cookie也携带过去,那么B网站的脚本就可以获取到用户在A网站的账号密码等信息,然后进行其他不安全的操作,比如发回自己的服务器等。

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值