跨站和跨域的区别

最新推荐文章于 2024-04-24 20:30:00 发布
最新推荐文章于 2024-04-24 20:30:00 发布
阅读量1.5k 收藏 15
点赞数 9
文章标签: 前端 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17335549/article/details/135347752
版权

跨站和跨域的关系与区别

  • 跨站 not samesite:两个域名不属于同站(域名-主机名/IP相同,协议相同)。
  • 跨域:两个域名不属于同源(域名-主机名/IP相同,端口号相同,协议相同)。

Cookie 的同源主要用于防止CRSF,Cookie的校验较宽松,Cookie只关注域名,忽略协议和端口,只要两个 URL 的 eTLD+1 相同即可【顶级域名+1】,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.co、.uk、.github.io 等。而 eTLD+1 则表示,有效顶级域名+二级域名,例如taobao.com等。

  1. www.taobao.com 和 www.baidu.com 是跨站
  2. www.a.taobao.com 和 www.b.taobao.com 是同站
  3. a.github.io和b.github.io是跨站 【这一这个github.io 是有效顶级域名】

所以跨站即:两个URL顶级域名和二级域名不同就是跨站(也称第三方(Third-party)),相同则是同站本方(First-party)

跨站"(Cross-Site)和"跨域"(Cross-Origin)是两个不同的概念,尽管它们经常被混淆。以下是它们的区别:

  1. 跨站(Cross-Site):

    • "跨站"通常用于描述涉及到网站的安全和隔离的问题。例如,跨站脚本攻击(Cross-Site Scripting,XSS)和跨站请求伪造(Cross-Site Request Forgery,CSRF)都属于跨站安全问题。
    • XSS 是一种攻击方式,攻击者通过注入恶意脚本(通常是 JavaScript)到网页中,然后在用户浏览器中执行这些脚本,从而获取用户的信息或进行其他恶意操作。
    • CSRF 是一种攻击方式,攻击者通过诱使用户在已经登录的情况下执行一些操作,从而在用户不知情的情况下执行恶意操作,如改变密码或进行支付。

  2. 跨域(Cross-Origin):

    • "跨域"通常用于描述在Web开发中,由于浏览器的同源策略(Same-Origin Policy)而导致的限制。同源策略是浏览器出于安全考虑而实施的一项策略,它限制一个网页从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。
    • 跨域问题出现在一个网页的脚本试图访问另一个域下的资源,例如通过 AJAX 请求加载数据或通过 <script> 标签引入远程脚本。
    • 解决跨域问题的常见方法包括使用JSONP(已经在之前的回答中提到)、CORS(Cross-Origin Resource Sharing)以及在服务器端设置适当的头部。
后端Nginx解决问题
fhzmWJ的博客
07-03 1562
现在开发基本上都是前后端分离模式,问题的处理似乎已经成为一件很自然的事情了,可以前端解决、也可以后端解决、用Nginx解决。我也不咋会前端,就从后端角度总结一下自己之前在开发过程中是如何处理问题的。
AngularJS iframe打开内容时报错误的解决办法
10-24
在Web开发中,AngularJS是一个非常流行的前端...总之,通过正确配置AngularJS的`$sce`服务,可以有效地解决`iframe`加载内容时遇到的问题,同时也要时刻关注安全性,避免潜在的跨站脚本攻击(XSS)其他安全威胁。
跨站
zhanlijuan
02-18 1305
一、概念 术语 解释 备注 两个 URL 的“协议+主机名+端口”3者只要有一个不一致 http://www.taobao.com/https://www.taobao.com/ 跨站 两个 URL 的 eTLD+1 不相同 a.github.io b.github.io eTLD effective top level domain (有效顶级名) .com、.co.uk、.github.io eTLD+1 有效顶级名+二级名 taobao.com 特别说
跨站
lgq2016的博客
06-07 386
只要两个 URL 的 eTLD+1 相同即是同站,不需要考虑协议端口eTLD: (effective top-level domain) 有效顶级名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,如.com.co.uk.github.io.top等eTLD+1: 有效顶级名+二级名,如taobao.combaidu.comtips: 这里的一级,二级名主要指计算机网络中规定的,与通常业务开发中所指的一二级名有些许差异eTLD: .topURL。
跨站区别前端多种方式
weixin_50464560的博客
08-13 3616
一、的由来(前端多种方式)          大家都不陌生,是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同名下的资源,所以需要。所以就出现了各种的方式,如JSONP、CORS、H5的postMessage、N...
跨站(cross-site)、(cross-origin)、SameSite与XMLHttpRequest.withCredentials
EmotionComputer
12-01 2131
,注意是浏览器设置的同源策略,是在浏览器端限制的,也就是在当前名下发送的xhr请求是否当前名同。 如果了,可以通过设置Access-Control-Allow-Origin来解决; 如果是同,则cookie自动被带上,如果是,则需要设置withCredentials(chorme浏览器94以前的版本); 如果是在启明星里执行console.log(window.location),则打印的是启明星的location。 同下不一定能携带cookie??这好像还samesite有关
访问
热门推荐
斜阳雨陌
05-18 1万+
什么是 是指从一个名的网页去请求另一个名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。的严格一点的定义是:只要 协议,名,端口有任何一个的不同,就被当作是 为什么浏览器要限制访问呢? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问...
请求资源-jsonpcors区别.pdf
04-09
### 请求资源——JSONP与CORS的区别 #### 一、的基本概念 在Web开发中,“”是指从一个名发起请求到另一个名。这主要是因为浏览器出于安全考虑实施了**同源策略**(Same-Origin Policy)。同源...
Nginx访问场景配置防盗链详解
09-29
访问控制是浏览器的一种安全策略,旨在防止跨站脚本攻击(Cross-Site Scripting,简称XSS)跨站请求伪造(Cross-Site Request Forgery,简称CSRF)。当一个网页尝试从不同的源加载资源时,浏览器会检查请求的...
webservicehttp区别
04-26
Web服务(Web Service)是一种平台的解决方案,能够使用HTTP来提供标准的、可扩展的、轻量级的服务。HTTP协议是一种相对简单的协议,主要用于客户端服务器之间的通信。与HTTP相比,Web服务更加灵活安全,支持...
理解「(源)」网站」的差异与联系
最新发布
零一魔法
04-24 869
理解「(源)」网站」的差异与联系。
同源、跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 5014
系统性梳理前端同源策略、解决方案CORS、Cookie的安全策略,最后总结不同场景的跨站问题解决方法。
服务调用基本概念及解决方法
jishublog
09-09 301
综述 出于防范跨站脚本攻击的同源安全策略,浏览器禁止客户端脚本(如Javascript)对不同名的服务进行调用。 同源策略(Same Origin)中的源有着严格的定义,参见RFC6454,第4章节。一般而言,Origin由{protocol, host, port}三部分组成。 下面是同源检查的一些实例: 可能有点意外的是,一般我们会认为不同的子名应该被当做同名,是安全的调用,但实...
知识点整理之---是什么,为什么会有的解决方法是什么?常用的是什么?原理是什么?
那些年的代码
07-23 374
是什么,为什么会有的解决方法是什么?常用的是什么?原理是什么? 面对这一连串问题,是不是很懵? 让我们来抽丝剥茧一点一点解决它。 什么是是指从一个名去请求另一个名的资源,严格来说,只要名,协议,端口任何一个不同,就视为。 为什么会出现? 为了网络安全起见,浏览器设置了一个同源策略,规定只有名,端口,协议全部相同,就叫做同源。当页面在执行一个脚本时...
跨站、cookie注入
Trifling_的博客
08-07 2205
简述 之前对cookie相关知识一直零零碎碎,最近工作中遇到些点相关问题,于是又整体重新梳理了一面,算是一个总结。 本章主要介绍如何跨站注入cookie,以及踩过过的一些。 文章所用到的URL说明 http://dev.proxy.com:3000/ 浏览器访问URL http://dev.fws.proxy.com:3001/接口URL http://dev.other.com:3001/跨站接口URL 概念 跨站(cross-site):两个 URL 的 eTLD+...
跨站语句
曲终人散
06-11 1059
alert("跨站") (最常用) (?用tab键弄出来的空格) (/**/ 表示注释) input {left:expression (alert('xss'))} html 实体 unicode "]}%3Cscript%3Ealert('test')%3C/script%3E{[&item="]["
关于问题的完整解决方案
阿杰
03-28 580
:浏览器对javascript的同源策略的限制 所谓的同源是指,名、协议、端口均为相同。 同源限制的行为有 Cookie、LocalStorage IndexDB 无法读取 DOM JS 对象无法获取 Ajax请求发送不出去 的原因 原因 示例 名不同 www.jd.com与www.taobao.com 名相同,端口不同 www.jd.com:80...
分享--关于前端跨站描述最清晰的一篇博客
leman314的博客
06-02 350
原文博客
的概念-以及CORS的概念
29岁的裴野永远爱你
11-08 768
前言: 在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、 JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。 正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。 比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest对象向其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值