web跨域访问

最新推荐文章于 2024-06-27 08:00:00 发布
最新推荐文章于 2024-06-27 08:00:00 发布
阅读量150 收藏
点赞数
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiu18610714529/article/details/118607516
版权

跨域

不同站点可以互相请求,不同的源(socket = ip+port)就是跨域

造成需要跨域的两种策略

浏览器同源策略,导致了需要跨域解决。

同源策略:

  1. DOM(html标签)同源策略:浏览器禁止对不同源DOM进行操作。主要是iframe,不同源的iframe是限制互相访问
  2. XmlHttpRequest同源策略:禁止使用XHR对象对不同源的服务器地址发起HTTP请求

为什么要有跨域限制

AJAX同源策略

因为web上标记登录信息的都是使用客户端存放的cookie,如果不同源能互相访问,B站点拿着A站点的cookie信息就等于是拿到了当是的账号密码。具体实例:

  1. 用户登录bank.com,bank_cookie产生了
  2. 用户不小心访问了恶意网站virus.com,从客户端获取了bank_cookie,网站携带着bank_cookie向bank.com发起了AJAX请求
  3. bank的服务器端验证cookie,验证用户信息无误,返回信息给virus.com,信息泄露

DOM同源策略

如果iframe之间可以跨域访问

  1. 做个跟bank.com一样的假网站,两个iframe,一个是bank iframe(这个占全屏),一个是virus iframe
  2. bank DOM输入登录信息,如果virus DOM可以不同源,那么就能获得用户输入的登录信息

跨域方法

CORS跨域资源共享

通过nginx服务器返回响应头

简单请求
请求头

浏览器发出cors请求,请求头上带着origin字段

GET /index HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
响应头

server通过Origin字段来判断是否同意这次请求

  1. 如果域名在许可范围内,响应头多加几个字段

    Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Access-Control-Request-Method: PUT
Content-Type: text/html; charset=utf-8

    • Access-Control-Allow-Origin

      允许请求域名,同请求头的origin字段,如果任意域名都接受那么付*

    • Access-Control-Allow-Credentials

      bool值,是否允许客户端请求携带cookie值

    • Access-Control-Expose-Headers

      字段可选,Cors请求时,请求头只能有6个基本字段Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma,如果还需要其他的字段只能赋值到此字段中

    非简单请求

    非简单请求是 对服务器有特殊要求的 请求。比如要求是PUTPOSTContent-Type的值是application/json

    非简单请求会在正式通信前,增加一次http查询请求,称为预请求

    预请求-请求头
    OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

    1. Access-Control-Request-Method

      该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT

    2. Access-Control-Request-Headers

      该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header

    预请求-响应头
    HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

    • Access-Control-Allow-Methods

      server允许的请求方法

    • Access-Control-Allow-Header

      如果浏览器预请求头包含Access-Control-Request-Headers,则响应头必须包含Access-Control-Allow-Headers,表示允许的头字段

    • Access-Control-Max-Age

      字段可选,预请求的有效时间,秒是单位

服务器代理

浏览器有跨域限制,但是服务器是没有的,通过代理服务器返回资源服务器的响应体

我是你的小阿磊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域访问---------
05-02
现在的web工程越来也大,传统的开发模式已经显得捉襟见肘了,不仅开发人员在开发过程中很痛苦,后期维护的人员也更痛苦。怎么解决呢?前后端分离。在前后端开发过程中一直会伴随我们的问题就是跨域问题,因为这时候前端和后端的代码是在不同机器上运行的,两个地址不在一个域名下,这个时候前端脚本在进行ajax访问的时候浏览器就会报跨域相关的错误。这个时候怎样解决呢? 最简单的做法是通过设置浏览器允许浏览器跨域请求。但是今天我们这里不讲这种方式,有兴趣的可以在度娘上搜“chrome浏览器跨域设置”教程非常详细。这个方式是有局限性的,因为不同浏览器的跨域设置不相同,甚至相同浏览器不同版本的设置都可能不同,我自己现在都只知道chrome的跨域设置,IE和firefox的看过,但是记不住了,总之,设置浏览器跨域,只适合临时用一下。 下面我们介绍一种测地解决前端跨域访问的方式,本地服务器请求转发的方式。
WebApi跨域访问
02-13
WebApi跨域访问是开发基于ASP.NET WebApi和MVC应用程序时经常遇到的一个关键问题。在Web开发中,由于浏览器的同源策略限制,不同源(协议、域名或端口不同)的请求会被阻止,这被称为跨域问题。解决这个问题的技术被...
web应用的跨域访问解决方案
魏泉的专栏
05-14 3万+
做过跨越多个网站的Ajax开发的朋友都知道,如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容,如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题。Ajax的跨域访问问题是现有的Ajax开发人员比较常遇到的问题。IE对于跨域访问的处理是,弹出警告框,提醒用户。如果用户将该网站纳入可信任网站,或者调低安全级别,那么这个问题IE就不会在提醒你。FireFox等其它非微软的浏览
对象存储的跨域访问控制- 实现安全的数据共享与协作
最新发布
A_991128a的博客
06-27 477
对象存储是一种云计算服务,用于存储和管理用户数据。它通常用于存储大量的文件,如图片、视频、音频、文档等。对象存储具有高可扩展性、高可靠性、低成本等特点,广泛应用于企业级云计算和大数据处理等领域。在对象存储中,用户可以通过HTTP或HTTPS协议访问和操作数据。然而,由于对象存储服务通常暴露在公网上,因此可能面临跨域访问问题。跨域访问是指从一个域名下的网页访问另一个域名下的资源。由于浏览器的同源策略限制,这种访问可能会导致安全问题。
跨域跨域访问
热门推荐
二牛的博客
12-24 4万+
什么是跨域跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域为什么浏览器要限制跨域访问呢?原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题
js iframe 跨越
micc010的专栏
08-25 187
由于安全方面的考虑,Javascript被限制了跨域访问的能力,但是有时候我们希望能够做一些合理的跨域访问的事情,那么怎么办呢? 这里分两类情况: 一、基于同一父域的子域之间页面的访问;参见如下3个domain域:taobao.com、jipiao.taobao.com、promotion.taobao.com;它们有相同的父域taobao.com。 二、基于不同父域页面之间的访问;参见如下...
Web站点跨域说明
09-18
1. **CORS(跨源资源共享)**:这是现代浏览器支持的最常用的方法,通过在服务器端设置响应头`Access-Control-Allow-Origin`,允许特定或所有源进行跨域访问。例如,服务器返回`Access-Control-Allow-Origin: *`表示...
tomcat跨域访问问题
02-11
在开发Web应用时,我们经常会遇到“跨域访问”(Cross-Origin Resource Sharing, CORS)的问题。Tomcat作为一款广泛使用的Java Servlet容器,同样会遇到这个问题。跨域是由于浏览器的安全策略,同一源策略(Same-...
java web服务器实现跨域访问
08-25
"java web服务器实现跨域访问" 跨域资源共享(CORS)是一种机制,允许Web页面向跨源服务器发出请求,从而克服同源策略的限制。下面是关于java web服务器实现跨域访问的知识点。 一、CORS概述 Cross-Origin ...
Web应用跨域访问解决方案汇总
CareChere的博客
07-06 1万+
做过跨越多个网站的Ajax开发的朋友都知道,如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容,如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题。Ajax的跨域访问问题是现有的Ajax开发人员比较常遇到的问题。 IE对于跨域访问的处理是,弹出警告框,提醒用户。如果用户将该网站纳入可信任网站,或者调低安全级别,那么这个问题IE就不会在提醒你。 FireFox等其它非微软的浏览
跨域访问
进行中
11-06 877
1、在springboot2 中,设置前端运行跨域访问只需要在启动类上加一个Bean就行 /** * 跨域问题 */ @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); // 允许所有的访问 config.addAllowedOrigin("*"); config.addAllowedHe
web跨域访问的几种方式
上帝De助手
02-18 4878
1、修改document.domain: 通过修改document.domain来支持同一个主域内跨域;通过js代码document.domain="your domain"来修改当前域,此方法只能支持同一个域下不同子域间的跨域操作。 如:map.baidu.com和www.baidu.com之间,把它们的document.domain="baidu.com"就可以通过js互相操作数据了。
JS跨域访问解决方案总结与应用
JS跨域访问解决方案总结是指在Web开发中,如何解决JavaScript跨域访问的问题。跨域访问是指一个站点中的资源访问另外一个不同域名站点上的资源,例如通过style标签加载外部样式表文件、通过img标签加载外部图片、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值