跨域总结

最新推荐文章于 2023-02-28 21:24:30 发布
最新推荐文章于 2023-02-28 21:24:30 发布
阅读量300 收藏
点赞数
分类专栏: 前端开发 文章标签: web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32657025/article/details/79460658
版权

浏览器的同源策略——跨域问题的由来

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。

例如,下表给出了相对http://store.company.com/dir/page.html同源检测的示例:

URL结果原因
http://store.company.com/dir2/other.html成功 
http://store.company.com/dir/inner/another.html成功 
https://store.company.com/secure.html失败不同协议 ( https和http )
http://store.company.com:81/dir/etc.html失败不同端口 ( 81和80)
http://news.company.com/dir/other.html失败不同域名 ( news和store )

同源策略是指浏览器限制了从同一个源加载的文档或脚本与来自另一个源的资源进行交互,是一个用于隔离潜在恶意文件的重要安全机制。具体来说,同源策略分为以下两种:

  1. DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。
  2. XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。

浏览器的同源策略导致跨域,只要协议、域名、端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作。

JSONP跨域

基本思想

jsonp跨域利用了Web页面上js文件的调用不受浏览器同源策略的影响这一特性,使用web页面的<script>标签实现跨域请求。

  1. 客户端嵌入<script>标签,将src属性设置为要请求资源的URL,并将回调函数作为参数添加到URL后。需要注意的是,因为要作为src属性的参数,此回调函数必须为全局对象。
  2. 假设用户想访问 http://127.0.0.1:3000?jsonp=callback , 希望期望返回JSON数据[data1,data2], 真正返回到客户端的数据显示为callback([data1,data2])。
基于node.js的jsonp跨域实例

搭建前端页面,该页面向http://127.0.0.1:3000请求数据,并将回调函数设置为jsonpCallback。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
    <script>
        function jsonpCallback(data) {
            alert('获得 X 数据:' + data.x);
        }
    </script>
    <script src="http://127.0.0.1:3000?callback=jsonpCallback"></script>
</head>
<body>
    this is 8080 server page!
</body>
</html>

使用node.js,将上述前端页面部署到本地的8080端口。

const url = require('url');
const http = require('http');
var fs = require('fs');
http.createServer((req, res) => {
    res.writeHead(200, {'Content-Type': 'text/html'});
    fs.createReadStream('index.html').pipe(res);
}).listen(8080, '127.0.0.1');

console.log('启动服务,监听 127.0.0.1:8080');

使用node.js搭建jsonp服务器,端口为3000,服务器将data数据作为回调函数的参数返回给前端页面。

//server.js
const url = require('url');
const http = require('http');
http.createServer((req, res) => {

    const data = {
        x: 10
    };
    const callback = url.parse(req.url, true).query.callback;
    res.writeHead(200);
    res.end(callback+'('+JSON.stringify(data)+')');
    // res.end(`${callback}(${JSON.stringify(data)})`);

}).listen(3000, '127.0.0.1');

console.log('启动服务,监听 127.0.0.1:3000');

在浏览器中输入 http://127.0.0.1:8080即可打开前端页面,并看到前端页面通过跨域请求从3000端口处获得的数据。
这里写图片描述

JSONP跨域的优缺点

优点
1. 不受浏览器同源策略的影响;
2. 兼容性较好,支持老版本的浏览器;
3. 能利用回调函数处理返回的数据。

缺点
1. 只支持GET请求,不支持POST等其它HTTP请求;
2. 它只支持跨域HTTP请求这种情况,不能解决异域页面或 iframe 之间进行数据通信的问题。

CORS跨域

基本思想

CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 ajax 只能同源使用的限制。

CORS 需要浏览器和服务器同时支持才可以生效。实现了 CORS 接口的浏览器在发现 ajax 请求跨源时,会自动添加一些附加的头信息(Origin字段),有时还会多出一次附加的请求(预检请求),但用户不会有感觉。实现了 CORS 接口的服务器会在HTTP请求头中增加一系列HTTP请求参数(例如Access-Control-Allow-Origin等),来限制哪些域的请求和哪些请求类型可以接受,参数可以在代码里写,也可以写在服务器配置文件里。目前,所有浏览器都支持该功能(IE浏览器不能低于IE10)。对于开发者来说,CORS 通信与同源的 ajax 通信没有差别,代码完全一样。

使用node.js实现COR跨域实例

新建前端页面,在前端页面中向http://127.0.0:8080发送XHR请求。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CORS</title>
</head>
<body>
    <script>
    var xhr = new XMLHttpRequest();
    xhr.open('GET', 'http://127.0.0.1:3000', true);
    xhr.onreadystatechange = function() {
        if(xhr.readyState === 4 && xhr.status === 200) {
            alert(xhr.responseText);
        }
    }
    xhr.send(null);
    </script>
</body>
</html>

将上述前端页面部署到http://127.0.0:8080

const url = require('url');
const http = require('http');
var fs = require('fs');
http.createServer((req, res) => {
    res.writeHead(200, {'Content-Type': 'text/html'});
    fs.createReadStream('index.html').pipe(res);
}).listen(8080, '127.0.0.1');

console.log('启动服务,监听 127.0.0.1:8080');

新建服务器,监听本地3000端口。设置服务器的请求头,允许本地的8080端口进行跨域访问

require('http').createServer((req, res) => {

    res.writeHead(200, {
    'Access-Control-Allow-Origin': 'http://localhost:8080',
    'Content-Type': 'text/html'
    });
    // res.writeHead(200, {'Content-Type': 'text/html'});
    res.end('这是你要的数据:1111');

}).listen(3000, '127.0.0.1');

console.log('启动服务,监听 127.0.0.1:3000');

在浏览器中输入http://localhost:8080即可打开前端页面,并显示跨域得到的数据。
这里写图片描述
cors跨域成功的关键在于服务器头信息的 Access-Control-Allow-Origin 字段中是否包含请求页面的域名。如果服务器没有设置 Access-Control-Allow-Origin 字段,或该字段中不包含请求页面的域名,则会发生跨域错误。
这里写图片描述

CORS的优缺点

优点
1. 使用简单方便
2. 支持所有类型的HTTP请求
缺点
1. CORS 是一种新型的跨域问题的解决方案,存在兼容问题,仅支持 IE 10 以上

CORS与JSONP的比较

CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。
JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

Server Proxy(服务器代理)跨域

基本思想

浏览器由于同源策略会产生跨域问题,但服务器之间不存在跨域问题。服务器代理即,当客户端需要跨域的请求时先发送请求给后端,由后端请求所要域的资源再返回给客户端。

JiajiaAz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS跨域总结
10-27
JS跨域总结,主要是解决js中跨域访问的我问题
JavaScript跨域总结
08-06
NULL 博文链接:https://swordshadow.iteye.com/blog/2082999
什么是跨域,为什么浏览器会禁止跨域,及其引起的发散性学习
qq_35271556的博客
05-16 1万+
浏览器的跨域问题以及解决方案 浅谈CSRF攻击方式 参考了上面的大神们的文章,以下是自己的总结。 1、什么是跨域 跨域的产生来源于现代浏览器所通用的‘同源策略’,所谓同源策略,是指只有在地址的: 1. 协议名 2. 域名 3. 端口名 均一样的情况下,才允许访问相同的cookie、localStorage或是发送Ajax请求等等。若在不同源的情况下访问,就称为跨域。 2、为什么浏...
什么是跨域? 出现原因及解决方法
热门推荐
Knight
02-28 2万+
什么是跨域? 出现原因及解决方法
跨域后果、跨域的理解
weixin_43228393的博客
02-02 973
什么是跨域 同源策略是浏览器的一种基础安全功能, 会阻止一个域的javascript脚本和另一个域的内容交互 当请求url的协议,域名, 端口三者任意一个与当前页面url不同, 就会跨域 跨域的后果 就是违反同源策略的后果: 1.无法读取同源网页的cookies,LocalStorage和IndexedDB 2.无法解除非同源网页的DOM 3.无法向非同源网页发送AJAX请求 注: 本文为部分转载, 完整文章请访问:https://blog.csdn.net/qq_38128179/article/deta
跨域引发的Web安全思考
dzqxwzoe的博客
01-31 559
面试时常会出现跨域的解决方式,那么从为什么会产生跨域思考,就会有很多相关的知识跳出来了。也会帮助把以前不相关的知识点串联起来。web 浏览器中包含javascript解释器,也就是说,一旦载入Web页面,就可以让任意的JavaScript代码在计算机里执行。这就造成了很大的安全隐患。攻击者可能会读取或修改数据、盗取隐私等。
域名及跨域问题
qq_45578181的博客
08-29 2954
文章目录1.域名问题解决1解决2解决32.跨域问题解决nginx反向代理CORS主要原理 1.域名问题 刚开始开发的时候,我们使用IP+端口号的形式访问服务。 但是这样的话,如果运行环境改变了之后就会出现问题,我们需要用不同的IP访问服务。 解决1 统一使用域名来访问服务。 门户系统:www.leyou.com 管理系统:manage.leyou.com 网关:api.leyou.com 但是这样就引入了一个域名解析的问题 解决2 浏览器会首先在本机的host文件中查找域名映射。如果找到就返回IP。 C:/
js跨域总结
06-02
js如何跨域的问题做一个非常详细的解释。
前端跨域问题原因及解决方案
棠樾的博客
03-25 9471
跨域是如何形成的? 当我们请求一个url的 协议、域名、端口三者之间任意一个与当前页面url的协议、域名、端口 不同这种现象我们把它称之为跨域 跨域会导致: 1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB 2、无法接触非同源网页的 DOM 3、无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应) 导致跨域的根本原因是请求浏览器的同源策略导致的 ,而跨域请求报错的原因是: 浏览器同源策略 && 请求是ajax类型 &&
跨域及解决方案
weixin_51670675的博客
10-18 2763
浏览器的同源策略和常见的跨域解决方案
史上最全跨域总结
油墨香^-^的博客
09-02 185
跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。同源策略限制了一下行为:Cookie、LocalStorage 和 IndexDB 无法读取DOM 和 JS 对象无法获取Ajax请求发送不出去。
跨域
bobozai86的博客
05-09 171
一、什么是跨域受浏览器同源策略的影响,不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象就需要跨域。二、为什么要跨域既然有安全问题,那为什么又要跨域呢?有时公司内部有多个不同的子域,比如一个是location.company.com,而应用是放在app.company.com,这时想从app.company.com去访问location.company.com的资源就属于跨域。三、解...
跨域 浅谈
qq_45048536的博客
04-15 2220
因为服务器与服务器之间不存在跨域,所以通过设置本地服务器(协议、域名、端口)去访问目标服务器,然后本地服务器返回数据就不存在跨域
九.vue中如何解决跨域问题?
HSH541的博客
03-21 579
1. 什么是跨域问题? 协议、域名、端口号不同的请求,称之为跨域 2. 传统的解决方案 (1)JSONP 没用过 (2)CROS 用过 (3)代理 第一次用,这里我们使用服务器代理来解决跨域问题 1)原理 服务器与服务器之间不会出现跨域问题 浏览器与服务器之间才会出现跨域问题 这个代理服务器就像一个中间人一样! 2)如何配置代理服务器? Webpack提供了这个功能! https://www.webpackjs.com/configuration/dev-server/#devserver-proxy
跨域的十种解决方案详解(总结
MoXinXueWEB的博客
07-26 7912
小菜鸟在总结
如何解决跨域问题
下雨打伞干嘛的博客
12-12 1370
如何解决跨域问题
跨域问题及解决方法
qq_50954744的博客
09-13 740
跨域问题及解决方法
跨域问题是怎样造成的
Java知音
04-02 334
跨域问题的由来相信很多人都或多或少了解过跨域问题,尤其在现如今前后端分离大行其道的时候。你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spri...
跨域问题详解
小小本科生
11-12 1745
一、跨域原理 1.为什么会产生跨域问题 之所以会产生跨域问题是由于浏览器实现了同源策略(Same origin policy),同源策略规定发起ajax请求时当原地址(原始域)和请求地址(请求域)的协议、域名、端口号三者任意一个不同就会引起跨域问题。 2.什么是同源策略 百度百科:同源策略(Same origin poli...
localhost跨域
最新发布
09-13
根据引用中的定义,如果两个请求的协议、域名和端口号完全一样,那么这两个请求在同一个域内,不算是跨域。...总结起来,如果我们在同一个域名上发送请求,比如说localhost,那么这个请求是不跨域的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值