同源策略阻止的是请求的发送还是数据的接收?

最新推荐文章于 2024-04-29 06:53:01 发布
最新推荐文章于 2024-04-29 06:53:01 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: js 安全 文章标签: 数据 ajax 浏览器 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34099161/article/details/53085588
版权
js 同时被 2 个专栏收录
21 篇文章 1 订阅
订阅专栏
安全
4 篇文章 0 订阅
订阅专栏

同源策略
(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,Web是构建在同源策略基础之上的,浏览器是针对同源策略的一种实现。

之前一直认为,它是通过对发出的请求进行检查是否同源,然后决定是否对该请求加以限制来实现。这次经过验证发现正好相反:

在www.test.com下的页面中向www.domian.com下的a.php发送ajax请求:

        $.ajax({                       
                type:"get",
                url:"http://www.domain.com/a.php",
                async:true,
                success:function(res){
                    console.log(res)
                },
                error:function(){
                    console.log("error")
                }
            });

控制台信息显示跨域不被允许:

XMLHttpRequest cannot load http://www.domain.com/a.php. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.test.com' is therefore not allowed access.

查看服务器access.log记录,找到了这条请求的记录:
这里写图片描述

所以同源策略应该是浏览器在接收加载资源之前对其来源进行了检查,然后限制加载。

关于解决办法,有很多,最简直接的办法就是在相应头里添加Access-Control-Allow-Origin:当前域名:

<?php
    header('Access-Control-Allow-Origin: http://www.test.com');
    echo "666";
?>

这样就能成功得到返回结果666:
这里写图片描述

也可以给Access-Control-Allow-Origin: 通配符 *,实际中基本不会用。

锅王
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ajax跨越请求
03-27
总结,Ajax跨域请求涉及浏览器的同源策略、CORS、JSONP、POSTMessage等多个知识点,理解并熟练运用这些技术是现代Web开发中的必备技能。在确保安全性的前提下,合理地利用跨域机制可以极大地提升用户体验和应用性能...
HTML5 通信API 跨域门槛将不再高、数据推送也不再是梦
09-28
跨文档消息传输允许不同源的网页之间进行通信,这在过去是一个严格受限的领域,因为浏览器的同源策略阻止了不同域名或端口之间的直接交互。然而,HTML5引入的`window.postMessage()`方法和`message`事件改变了这一...
理解浏览器的同源策略限制
WEBCODE
04-09 243
理解浏览器的同源策略限制浏览器的同源策略是指浏览器会阻止从一个域上加载的脚本获取或操作另一个域上的文档属性。也就是说,受到请求的 URL 的域必须与当前 Web 页面的域相同。这意味着浏览器会主动隔离来自不同源的内容,以防止它们之间的操作。这个浏览器策略很旧,从 Netscape Navigator 2.0 版本开始就存在。...
浏览器的同源策略机制
subsistent的博客
02-16 451
所以我们可以将请求发送到自己服务器,然后自己服务器去请求目标接口资源,最后自己服务器将接口资源返回给当前页面,类似于找外援代替自己请求目标接口资源。通常请求请求回来的资源要在js中进行处理,所以jsonp跨域是利用script标签进行发送,且这种请求方式只能是get请求。但当一个项目变的很大的时候,将所有内容放在一个网站或一个服务器中会让网站变的臃肿且性能低下,所以,在一些场景中,我们需要跨过同源策略请求到不同源的接口资源,这种场景叫跨域。同源策略,指的是浏览器限制当前网页只能访问同源的接口资源。
说说HTTP协议中的同源策略及其限制。
最新发布
长风破浪会有时的博客
04-29 139
比如,一个网页想要向另一个网页发送AJAX请求来获取数据,如果这两个网页不是同源的,那么请求就会被阻止。:同源策略还限制了网页之间数据的共享。比如,一个网页想要读取另一个网页上的Cookie(存储在我们电脑上的小数据),如果这两个网页不是同源的,那么就不能读取。总的来说,同源策略就像是一道保护我们网络安全的屏障,它确保只有我们信任的网站才能与我们的浏览器进行交互,从而保护我们的个人信息和数据不被恶意网站窃取或滥用。简单来说,它就像是我们家里的门锁,只允许家人(同源)进出,不允许陌生人(非同源)随便闯入。
同源策略与跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
浏览器的同源策略
zg0601的博客
01-08 3344
同源策略
浏览器的同源策略及常见跨域方式
一只小绵羊
05-09 414
同源策略及前端常见跨域
解析AngularJS中get请求URL出现的跨域问题
11-28
在AngularJS中,跨域问题通常发生在尝试从一个源(Origin)向另一个源发送Ajax请求时,这违反了浏览器的同源策略同源策略是一种安全机制,限制了一个网页只能获取相同协议、域名和端口的资源。在给定的例子中,...
跨域请求解决方案
04-17
一个窗口或iframe可以使用`postMessage`方法发送数据,另一个窗口或iframe通过监听`message`事件接收数据。 ### 四、Java实现跨域请求解决方案 在Java后端,我们可以使用Spring框架提供的CORS配置来允许跨域请求。...
支持Flash安全策略转发的服务器端
04-17
当Flash内容试图连接到不同源的服务器时,Flash Player会向目标服务器发送一个安全策略请求,等待服务器返回允许连接的确认。如果服务器未响应或者响应不正确,Flash内容的网络通信将会被阻止。 在服务器端,为了...
浏览器拦截跨域请求处理方法(同源策略不允许读取服务器远程资源)
chritina的专栏
04-10 2万+
如题目所示,当浏览器进行跨域请求时,会出现跨域问题。该问题在 Firefox 中会报错:已拦截跨源请求同源策略禁止读取位于 http://XXXX/x 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 而在 Chrome 中会显示如下错误:XMLHttpRequest cannot load http://XXXX/x. No 'Access-C
解决浏览器出现的【已拦截跨源请求同源策略禁止读取】问题
热门推荐
知而有涯,学而无涯
02-06 6万+
问题产生:已拦截跨源请求同源策略禁止读取 在网页与接口不处于同一个服务器的前提下(前端代码放在A服务器,接口牌B服务器),ajax请求接口的时候,浏览器会为了安全问题,在接口返回数据的时候,对响应头进行检验。如果响应头中没有Access-Control-Allow-Origin:*和Access-Control-Allow-Headers:Origin, X-Requested-With
同源策略和跨域请求
司天宏的博客
06-24 320
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个...
浏览器拦截跨域请求处理方法(已阻止跨源请求:同源策略禁止读取远程资源)
wcqlwyt的博客
08-15 2294
原文地址:http://my.oschina.net/lichaoqiang/blog/317823 在浏览器请求中,出现跨域访问资源的问题,我们肯定会遇到。如果跨域请求阻止,有可能导致css、
同源策略和跨域访问
weixin_33676492的博客
05-28 90
一:什么是同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略同源:URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源同源策略:浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。从一个域上加载的脚本不允许访问另外一个域的文档属性。在浏览器中,<script>、<img&...
同源策略限制及跨域问题的解决方法
Dream_Lee的博客
01-28 3904
什么是同源策略 同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 什么是同源 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 浏览器的同源策略,限制了来自不同源的&amp;amp;quot;document&amp;amp;quot;或脚本,对当前&amp;amp;quot;document&amp;amp;quot;读取或设置某些属性。从一个域上加载的脚本不允许访问另外一个域的文档属
接口发送请求,后端接收不到,现实跨域问题
06-10
这个问题通常是由于浏览器的同源策略导致的。浏览器的同源策略要求客户端JavaScript脚本只能与加载脚本的文档来源进行交互,而不能与其他来源进行交互。如果你的接口请求没有遵循同源策略,浏览器就会阻止跨域请求发送。 解决这个问题的一种方法是使用CORS(跨源资源共享),这是一种浏览器允许跨域请求的机制。你可以在后端设置响应头来允许指定的源进行跨域请求,例如: ``` Access-Control-Allow-Origin: http://example.com ``` 这将允许来自http://example.com的请求进行跨域访问。你也可以使用通配符来允许所有来源: ``` Access-Control-Allow-Origin: * ``` 另外,你也可以使用JSONP(JSON with Padding)来解决跨域问题。JSONP是一种在跨域请求中使用的技术,它通过动态创建script标签来加载跨域数据,并使用回调函数处理返回的数据。但是,JSONP只支持GET请求,而且需要服务端支持。 总之,跨域问题是一个常见的问题,但是有多种解决方法可以选择。具体的解决方案要根据你的具体情况来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值