前端跨域问题原因分析以及解决方式

最新推荐文章于 2024-09-05 10:24:11 发布
最新推荐文章于 2024-09-05 10:24:11 发布
阅读量3.1k 收藏 6
点赞数 2
分类专栏: JavaScript 文章标签: javascript jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng_9/article/details/104809791
版权

前端跨域问题的解决方案

文章目录

1. 造成跨域的原因

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源.这里的跨域是广义的.
广义的跨域包括:

  • 资源跳转: 链接,重定向,表单提交
  • 资源嵌入: <link>,<script>,<img>,<iframe>等 DOM 标签
  • 脚本请求: javascript 发起的 Ajax 请求等

而我们常说的跨域是狭义的,是由浏览器同源策略引起的一类请求场景.

The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin. It helps isolate potentially malicious documents, reducing possible attack vectors.

来自 MDN

如果两个域名的协议,域名,端口都相同,那我们就说这两个域名是同源的.

2. 同源策略限制些什么?

  1. 不能向工作在不同源的服务请求数据,即不能发送 Ajax 请求;
  2. 无法获取不同源的 document / cookies 等 BOM 和 DOM,可以说任何有关另一个源的信息都无法得到.

3. 为什么会有同源策略

3.1 为什么要限制不同源发送请求

假设两个页面,a 页面和 b 页面.如果没有任何限制,b 页面可以向 a 页面请求任何信息,那如果 a 页面是个
银行之类的页面,那就可以进行转账之类的请求.
那既然如此,为什么不限制写,只限制读?
因为如果连请求都发送不出去,那就不能做跨域资源共享了.

3.2 为什么限制跨域的 DOM 读取?

如果不加以限制,很容易通过 iframe 伪装其网站.进而可以获取用户的登录信息等.

4. 跨域的解决方式

4.1 CORS

服务器设置:

ACCESS-CONTROL-ALLOW-ORIGIN: *

只要浏览器检测到响应头带上了 CORS,并且允许的源包括了本网站,那么就不会拦截请求响应。

CORS 分为"简单请求"以及"预检请求":

  1. 简单请求
    使用下列方法之一:

    • GET
    • POST
    • HEAD

    以及满足 Fetch 规范定义了对 CORS 安全的首部字段集合,不得人为设置该集合之外的其他首部字段。
    而且 Content-Type 的值仅为下列三者之一:

    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded

  2. 预检请求
    与上述简单请求不一样."需预检的请求"要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,
    以获知服务器是否允许该实际请求。"预检请求"的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。
    当满足以下任一条件时,即应首先发送预检请求:

    • 非简单请求的方法
    • 人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。
    • 非简单请求的 Content-Type
    • 请求中的XMLHttpRequestUpload 对象注册了任意多个事件监听器。
    • 请求中使用了ReadableStream对象。

另外,还有附带身份验证的请求,也就是携带 cookies.
这个需要前端在请求实例中设置:

// 将 XMLHttpRequest 的 withCredentials 标志设置为 true
const xml = new XMLHttpRequest();
// ...
xml.withCredentials = true;

这时,后端需要作出相应的设置.

来自MDN

4.2 JSONP

JSONP 能够跨域的原理就是:动态创建 script 标签,利用 script 标签的 src 请求没有跨域的限制.

代码示例
function updateList (data) {
    console.log(data);
}
let tag = document.createElement("script")
tag.src = "http://otherdomain.com/request?callback=updateList";
document.head.appendChild(tag);

代码定义一个全局函数,然后把这个函数名添加到 script 标签中 src 属性的参数 callback 中,
script 的 src 就是需要跨域的请求.服务端收到请求之后,将数据放入 callback 属性的属性值中:
updateList("somedata"),然后返回给客户端:

// script 响应返回的js内容为
updateList([{
    name: 'hello'
}]);

也就是客户端执行 传递的方法 updateList ,函数的参数即是本次跨域请求返回的数据.

法研鲁迅
关注
专栏目录
前端跨域问题原因解决方案
棠樾的博客
03-25 9724
跨域是如何形成的? 当我们请求一个url的 协议、域名、端口三者之间任意一个与当前页面url的协议、域名、端口 不同这种现象我们把它称之为跨域 跨域会导致: 1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB 2、无法接触非同源网页的 DOM 3、无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应) 导致跨域的根本原因是请求浏览器的同源策略导致的 ,而跨域请求报错的原因是: 浏览器同源策略 && 请求是ajax类型 &&
跨域问题产生原因以及十种解决方案
LYFlied的博客
04-12 8283
一、什么是跨域? 同源策略:协议+域名+端口 三、解决方案 1.JSONP跨域 2.跨域资源共享(CORS) 简单请求 CORS跨域示例 3.nginx代理跨域 nginx配置解决iconfont跨域 nginx反向代理接口跨域 4.nodejs中间件代理跨域 5.document.domain + iframe跨域 6.location.hash + iframe跨域 7.window.name + iframe跨域 8.postMessage跨域 9.WebSocket协议跨域 10.浏览器开启跨域
跨域产生原因解决方案
热门推荐
weixin_38230631的博客
05-27 1万+
1、跨域原因 跨域是是因为浏览器的同源策略限制,是浏览器的一种安全机制,服务端之间是不存在跨域的。 所谓同源指的是两个页面具有相同的协议、主机和端口,三者有任一不相同即会产生跨域。 2、跨域举例 3、跨域解决办法 3.1 浏览器限制 既然跨域是浏览器的一种安全限制,那是否可以让浏览器不做跨域限制呢?答案是肯定的,我们设置浏览器禁止检查--disabled-web-security --user-data-dir,重新打开浏览器,会发现在浏览器顶部提示: ![image-20200.
详解前端中的跨域解决措施
最新发布
2301_78675670的博客
09-05 1535
针对浏览器的"同源策略"进行了详细的解释,文章中还包含了一些关于解决跨域的具体措施及代码示例
前端开发--跨域问题的由来及解决方法
weixin_51059952的博客
10-01 2063
的高度宽度调整到占据浏览器的可视区域 ,这样用户进入这个假的网站后,看到就是和真正的银行网站是一样的内容。通过上面的错误,我们明白了,客户端不能发送跨域请求是因为服务端并不接收跨域的请求,所以为了解决跨域请求的问题,我们可以将服务端设置为可以接收跨域请求。通过对服务端的处理不会对前端代码做任何的处理,但是由于不同系统服务端采用的语言与框架是不同的,所以导致服务端的处理方式不同。所谓的同源指的是相同协议,域名和端口号,如果两个资源路径在协议,域名,端口号上有任何一点不同,则它们就不属于同源的资源,
详细剖析让前端头疼的跨域问题是怎么产生的,又该如何解决
景天科技苑
03-17 1万+
同源策略,是浏览器为了保护用户信息安全的一种安全机制。 所谓的同源就是指代通信的两个地址(例如服务端接口地址与浏览器客户端页面地址)之间比较,是否协议、域名和端口相同。 不同源的客户端脚本[javascript]在没有明确授权的情况下,没有权限读写对方信息。 同源策略机制(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略。 则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础上的,浏览器只是针对同源策略的一种实现。
前端跨域有几种方式?对应实例以及实现的具体方法?实现原理?跨域产生原因
这世上从不缺让人上头的新鲜感,能顾及你情绪的人实属难得。
02-07 1482
前端跨域有几种方式?对应实例以及实现的具体方法?实现原理?跨域产生原因
跨域问题产生原因以及解决方案
Super乐De博客
06-18 1762
文章目录 一、什么是跨域? 二、什么是同源策略? 三、解决方案 1.JSONP跨域 2.跨域资源共享(CORS) 简单请求 CORS跨域示例 3.nginx代理跨域 nginx配置解决iconfont跨域 nginx反向代理接口跨域 4.nodejs中间件代理跨域 5.document.domain + if...
前端跨域请求get_解决前端跨域请求的几种方式
weixin_32203421的博客
01-13 1190
利用 JSONP 实现跨域调用说道跨域调用,可能大家首先想到的或者听说过的就是JSONP了。1.1 什么是JSONPJSONP 是 JSON 的一种使用模式,可以解决主流浏览器的跨域数据访问问题。其原理是根据 XmlHttpRequest 对象受到同源策略的影响,而标签元素却不受同源策略影响,可以加载跨域服务器上的脚本,网页可以从其他来源动态产生 JSON 资料。用 JSONP 获取的不是 ...
ajax跨域问题分析与springboot解决方法
01-08
以上是关于Ajax跨域问题分析和Spring Boot的解决方法。在实际开发中,应根据项目需求选择合适的跨域解决方案,确保前后端通信的顺利进行。对于其他编程语言和框架的实现,可以参考相应文档或搜索网络资源。如果...
javascript跨域方法、原理以及出现问题解决方法(详解)
10-23
为了解决这个问题,开发人员可以采用以下几种跨域方法: 1. **基于IFrame的跨域** 当两个页面的域名共享相同的二级域名时,可以通过设置`document.domain`属性实现跨域。例如,`aa.xx.com`和`bb.xx.com`可以相互...
前端跨域解决方案
10-12
前端跨域解决方案,jsonp和cros两种解决方式。我们发现,Web页面上调用js文件时不受是否跨域的影响,凡是拥有"src"这个属性的标签都拥有跨域的能力,比如[removed]、<img>、<iframe>。那就是说如果要跨域访问数据,就服务端只能把数据放在js格式的文件里。恰巧我们知道JSON可以简洁的描述复杂数据,而且JSON还被js原生支持,所以在客户端几乎可以随心所欲的处理这种格式的数据。然后客户端就可以通过与调用脚本一模一样的方式,来调用跨域服务器上动态生成的js格式文件。客户端在对JSON文件调用成功之后,也就获得了自己所需的数据。这就形成了JSONP的基本概念。
js前端解决跨域问题的8种方案(最新最全)
11-27
1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹 允许 http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允许 http://www.a.com/a.js https://www.a.com/b.js 同一域名,不同协议
web前端跨域问题简介及其常见解决方案
AKGWSB 's blog
07-26 1124
前言 最近在做一个小web项目,需要从一个接口获取XML数据,具体数据用浏览器可以直接打开,大概长这样: 其实就是一些球赛的数据。。。 然后神奇的是,当我在自己的站点尝试用ajax去获取数据的时候,竟然有如下的报错信息: Access to XMLHttpRequest at 'http://free.win007.com/vbsxml/change.xml’from origin ‘null’ has been blocked by CORS policy: No ‘Access-Control-A
跨域产生以及解决方法和原理
weixin_53068161的博客
10-12 1445
在前后端分离的开发模式中,前端时常会遇到提示接口跨越而无法获取到数据的问题。在本文中只要介绍了跨域产生解决原理,并提供一些解决办法。
跨域问题前端解决方法
dawn0718的专栏
08-03 953
  总结前端实现跨越访问的多种方式方法
前端跨域问题:原理、解决方案及最佳实践
weixin_44446127的博客
03-27 369
跨域是指浏览器从一个源(协议、域名和端口号三者相同,则为同源)的页面中发起一个请求到另一个源的服务器, 此时浏览器的同源策略限制了这种交互,这是浏览器的一种安全机制。在前端和后端中间“放置”一个代理服务器,这样前端和代理服务器同源, 后端和代理服务器通信,避免了跨域问题。浏览器的同源策略:来自不同源的页面(协议、域名、端口三者中有一个不同即为不同源)之间不能共享数据。基于HTTP头部的跨域解决方案,通过在服务器端设置响应头信息来允许跨域请求。优点: CORS支持所有类型的HTTP请求,并且安全性较高。
跨域 问题 原理以及解决方法
Monster的博客
12-26 1706
深入讲解一下CORS:CORS其实就是跨域资源共享,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。:出现的较晚,它是W3C标准,属于跨域Ajax请求的根本解决方案。
Vue3中使用Axios解决跨域问题的源码分析
资源摘要信息:"本资源涉及前端开发中的跨域问题以及如何使用axios进行解决跨域问题是在开发Web应用时经常遇到的一个问题,由于浏览器的同源策略限制,前端页面的JavaScript代码在未经允许的情况下无法请求不同源的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值