same-origin policy 和 cross-origin resource sharing(CORS)

最新推荐文章于 2023-08-26 03:25:12 发布
最新推荐文章于 2023-08-26 03:25:12 发布
阅读量502 收藏 1
点赞数
分类专栏: JS
原文链接:https://blog.csdn.net/qq_29454347/article/details/98096890
版权

一、host和domain

1、host

https://url.spec.whatwg.org/#concept-host

2、domain

https://url.spec.whatwg.org/#concept-domain

根据以上的定义,domain是“域名“,比如baidu.com,host可以是domain,或者ip地址,或者opaque host

3、opaque host

资料甚少,参考https://github.com/w3c/wpub/issues/321

比如file://这种host就是opaque host的一种,与常见的domain不一样。不太需要关注。

二、origin

源的定义:

https://html.spec.whatwg.org/multipage/origin.html#concept-origin

基本上可以理解为:

协议(http/https/...) + host(domain) + port

只能3者都一样,才叫同源。

x.baidu.com 与 y.baidu.com  就不是同源。

三、同源策略

同源策略是互联网安全的基石。一个浏览器tab打开了源A,另一个tab打开了源B,源A的tab不能访问到源B tab的数据,包括cookie数据和dom数据。浏览器提供了这样的安全保障。

但是HTML除了cookie和dom,还有:

JavaScript
img,vedio
css
跨域请求(源A向源B请求数据)
document.domain API可以修改当前页面的domain
违反了同源策略的访问,统称为跨域访问

详细的定义可以查阅:

https://code.google.com/archive/p/browsersec/wikis/Part2.wiki

https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

四、跨域访问

按照MDN的说法:

  • 跨域写请求一般是被允许的(比如form提交)(这里的“被允许”只是浏览器不会主动阻止这次请求)
  • 跨域embed一般是被允许的(同上)
  • 跨域读请求一般是不允许的(浏览器和服务端都有安全措施)。于是有一些人鸡贼的想用embed来做跨域的读。

五、CORS

cross-origin resource sharing. 通过JS脚本来发起请求(AJAX或者fetch API, 与AJAX大同小异)

在互联网上,有的服务端愿意开放自己的数据,有的不愿意

CORS规范了不同情况下浏览器和服务端的行为。

详细说明:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

六、CORS与origin请求头

在CORS的说明中,“简单”请求不会触发CORS预检测机制。

要求“简单”请求的请求头只能有以下类型:

  • Fetch规范定义了对CORS安全的首部字段集合,不得人为设置该集合之外的其他首部字段。该集合为:Accept / Accept-Language / Content-Language / Content-Type / DPR / Downlink / Save-Data / Viewport-Width / Width 

 但是浏览器发现一个请求是跨域请求时,一定会在请求中加入头部

origin
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Origin

服务端可以根据这个头部做出相应处理。没法用脚本阻止浏览器添加此头部。

七、CORS与预检测请求

不是“简单”请求的脚本跨域请求,都是预检测请求。浏览器会执行预检测机制。

预检测机制会先用option method请求服务器,看服务端是否支持当前origin的跨域请求.

不管是简单请求还是预检测请求,涉及到的http头部常见的有:

Access-Control-Allow-Origin
允许跨域访问的域
Access-Control-Max-Age
在多长的时间内,跨域访问不再需要预检测机制
Access-Control-Allow-Headers
允许跨域时含有这些请求header

不管是简单跨域请求还是预检测跨域请求,都会发送http请求到服务端。

收到服务端返回后,如果:

  • 返回头没有任何跨域相关的header,视为不允许跨域
  • 返回头中有跨域相关的header,且允许此次跨域,一切正常。

即使是被服务端的返回header拒绝跨域请求,通过fiddler抓包,可以看到整个http请求是已经完成的,数据body也都传输到了浏览器。

八、chrome浏览器的“Provisional headers are shown”

如下图,一些请求在chrome调试器中看到请求头被标上了"provisional headers are shown", 直译就是“显示的是临时的请求头”

出现这个提示最常见的情况下数据有缓存,不过也有其他情况:

  • 浏览器装了广告拦截插件,广告请求被拦截了
  • 一个请求还没完成被用户取消了
  • 服务端长时间没反应,超时了

还要一种情况与跨域有关。在跨域预处理中,会先发送options请求,但是如果服务端不能正确处理options请求,会导致请求超时,出现这个警告。

通过chrome自带插件可以查看chrome的log,看看发生了什么。

chrome://net-export/

小白啥时候能进阶成功
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Allow-Control-Allow-Origin chrome
12-27
在Web开发中,跨域(Cross-Origin)是由于同源策略(Same-origin policy)限制,导致一个源(Origin,包括协议、域名和端口)下的文档或脚本不能直接访问另一个源下的资源。这个问题在React-Native这样的混合移动...
Allow-Control-Allow-Origin_1_0_3_0.crx.zip
01-20
CORS(Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头来告诉浏览器允许一个域上的网页访问另一个域上的资源。在服务器端,通过设置响应头 "Access-Control-Allow-Origin",可以指定哪些来源的请求...
跨域访问技术CORS(Cross-Origin Resource Sharing)简介
weixin_34302798的博客
04-07 701
为什么要用CORSCORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 首先需要明白什么是Same-origin Policy呢?   简单地说,在一个浏览器中访问的网站不能访问另一个网站中的数据,除非这两个网站具有相同的O...
主机名/域名
Noreaday的博客
08-01 4518
转载于:https://blog.csdn.net/mybelief321/article/details/9612679   目录 1、 什么是主机名; 2. 主机名配置文件; 2.1    主机名配置文件 /etc/hosts解说; 2.2     主机名(hostname)和域名(Domain)的区别; 2.3  局域网的机器,不能通过主机名互访的原因; 3、主机名修改工具 hostna...
netcat指令、主机(host)、域名(Domain Name)、IP地址(Internet Protocol Address)、服务器(Server)、端口(Port),相关问题
qq_53631388的博客
08-26 416
netcat指令、主机(host)、域名(Domain Name)、IP地址(Internet Protocol Address)、服务器(Server)、端口(Port),相关问题
Domain or host
hh2000的专栏
11-11 2449
sina.com : Domainwww.sina.com : host
php domain cookie cross-domian,【全部解决】Cookie的Domain值的起始是否包含点的问题 + cookie的DomainHost的关系 + Cookie的Doma...
weixin_36108913的博客
03-20 652
【问题】在vs2010中调试C#的代码,以及用IE9中的F12抓取分析网页过程中。有关于cookie的domain值,看到有些是“.live.com”,有些是“login.live.com”的,即有些domain值,起始是以点开始的,有些却不是:所以此处想要搞清楚,对于cookie的domain值,起始是否包含点,还是不论包含和不包含,意义都是一样的?【解决过程】1.通过IE9的F12中的缓存-&...
JSON to JSONP- Bypass Same-Origin Policy
10-15
随着现代Web技术的发展,CORS(Cross-Origin Resource Sharing)跨域资源共享成为了更安全、更灵活的解决方案,它允许服务器指定哪些源可以访问其资源,从而替代了JSONP的部分作用。CORS支持所有HTTP方法,提供了...
Tomcat解决跨域的两个jar包java-property-utils-1.9.jar和cors-filter-1.7.jar
10-13
CORS(Cross-Origin Resource Sharing)是一种W3C标准,通过在HTTP响应头中添加`Access-Control-Allow-*`字段,允许服务器明确指定哪些源可以访问其资源。`cors-filter`是一个实现了CORS机制的Servlet Filter,它...
Allow-Control-Allow-Origin
11-28
在Web开发中,"Allow-Control-Allow-Origin"是一个关键的HTTP响应头字段,它涉及到浏览器的同源策略(Same-Origin Policy)以及跨域资源共享(CORS,Cross-Origin Resource Sharing)。同源策略是浏览器的一个安全...
网页地址解释
teng_zz的博客
09-27 549
scheme://host.domain:port/path/filename scheme - 定义因特网服务的类型。最常见的类型是 http host - 定义域主机(http 的默认主机是 www) domain - 定义因特网域名,比如 baidu.com :port - 定义主机上的端口号(http 的默认端口号是 80) path - 定义...
域名,网站名,URL的区别
hu993202016的博客
10-25 2661
** 什么是域名?什么网站名?什么是URL ** 域名(Domain Name),是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置,地理上的域名,指代有行政自主权的一个地方区域)。 域名是一个IP地址上有“面具” 。一个域名的目的是便于记忆和沟通的一组服务器的地址(网站,电子邮件,FTP等)。但是记住哟域名不包括ww...
关于主机名,域名区别(www.baidu.com与baidu.com)以及同源策略的一些误区
qq_59950255的博客
04-11 9770
域名,主机名(baidu.com,www.baidu.com)区别,同源策略中某些误区
Linux 下hosts文件详解
weixin_34006965的博客
09-23 643
1、主机名: 无论在局域网还是INTERNET上,每台主机都有一个IP地址,是为了区分此台主机和彼台主机,也就是说IP地址就是主机的门牌号。 公网:IP地址不方便记忆,所以又有了域名。域名只是在公网(INtERNET)中存在,每个域名都对应一个IP地址,但一个IP地址可有对应多个域名。 局域网:每台机器都有一个主机名,用于主机与主机之间的便于区分,就可以为每台机器设置主机名,以便于以容易记忆...
host文件地址_DNS与host到底是什么呢?
weixin_39617702的博客
11-29 1309
什么是DNS??“Domain Name System(域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。mmp,讲人话!请记住一下标签:电话本云电话本有很多电话号码的电话本虽然这是废话。。。DNS就是把每一个网站的服务器的地址与网络域名一一对应,然后再给存储了起来。 比方说我们经常使用的百度搜索引擎,除了可以...
ip与域名解析 dns host
纯,属虚构
04-24 3055
参考文献: http://www.faqs.org/docs/securing/chap5sec39.html http://www.oschina.net/question/565065_77205    【1】执行顺序 所有的解析请求由linux的resolver library(指的是一些C标准库的函数,主要是gethostbyname和gethostbyaddr)完成,它涉
http url中的hosthostname的区别
热门推荐
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
08-03 1万+
如题,hosthostname其实是不同的概念,容易混淆。 简单的说,host=hostname+‘:'+port(not 80) 如果http使用默认的80端口,host可以省略掉冒号+端口,看上去和hostname一样,比如一个网站的域名www.baidu.com 在发送http get请求的时候,请求头中的"Host: "字段就是这里host的概念。 ...
Linux hostname主机名配置文件/etc/hosts详解
ITSTAR
03-17 6214
点评:这篇文章为大家介绍linux hostname主机名配置文件/etc/hosts,包括主机名的用途、配置文件的操作方法等,有需要的朋友,可以参考下 本文转自:http://www.jb51.net/LINUXjishu/77329.html 好文章,谢谢分享! 1、什么是Linux主机名 无论在局域网还是INTERNET上,每台主机都有一个IP地址,是为了区分此台主机和彼台
python strict-origin-when-cross-origin
最新发布
06-12
在讨论 Python 的上下文中,它可能是指 Flask 或 Django 等 Web 框架中用于处理跨域资源共享(Cross-Origin Resource Sharing, CORS)的配置选项。当你使用这些框架时,`strict-origin-when-cross-origin` 是一种 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值