[10]浏览器的同源策略你清楚吗?

已于 2022-11-19 09:38:09 修改
阅读量465 收藏 4
点赞数
文章标签: javascript 前端 html
于 2022-11-19 09:37:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35577655/article/details/127932714
版权

 

概述

我们结合生活去再理解一下: 假如你们家的房子,是不是不允许陌生人进入,如果可以随便进入,那么就有可能被盗了,那么这个时候,锁和钥匙就出现了为了保证家的安全。这个锁和钥匙就是这里的同源策略

同源策略:要求一个服务器上的网页,只能请求这个服务器上的资源

同源策略就是指必须在同一个协议,域名,端口号下,而且三者必须一致的。

 

处理方案

①CORS

CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。

它的总体思路是:如果浏览器要跨域访问服务器的资源,需要获得服务器的允许

Access-Control-Allow-Origin: http://a.com

 

②反向代理

 

 

nginx的配置反向代理

 

③jsonp

只支持get请求,还很麻烦

利用了script脚本不受同源策略限制

  

  前端部分: 
  
    <head>
      <meta charset="UTF-8">
      <meta http-equiv="X-UA-Compatible" content="IE=edge">
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>JSONP简单实现</title>
   </head>
      <body>
         <button id="btn">点击发送请求</button>
         <script>
            function getJsonpData(data) {
               console.log("获取数据成功")
               console.log(data) //{name:'tom'}
            }
            var btn = document.getElementById("btn");
            btn.onclick = function () {
               //创建script标签
               var script = document.createElement("script");
               script.src = 'http://localhost:3000/user?callback=getJsonpData';
               document.body.appendChild(script);
               script.onload = function () {
                  document.body.removeChild(script)
               }
              //getJsonpData({name:"tom"})
            }
         </script>
      </body>
   </html>


后端:

 //路由配置
   app.get("/user",(req,res)=>{
      //1.获取客户端发送过来的回调函数的名字
      let fnName = req.query.callback;
      //2.得到要通过JSONP形式发送给客户端的数据
      const data = {name:'tom'}
      //3.根据前两步得到的数据,拼接出个函数调用的字符串
      let result = `${fnName}({name:"tom"})`
      //4.把上步拼接得到的字符串,响应给客户端的<script> 标签进行解析执行
      res.send(result);
     
      //getJsonpData({name:"tom"})
   })

我们一起学前端
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
7.浏览器原理之浏览器同源策略
qq_42349528的博客
02-25 3567
目录1.什么是同源策略2.如何解决跨域问题3.正向代理和反向代理的区别4.NginX的概念及其工作原理 1.什么是同源策略 2.如何解决跨域问题 3.正向代理和反向代理的区别 4.NginX的概念及其工作原理 NginX是一款轻量级的Web服务器,也可以用于反向代理,负载均衡和HTTP缓存等。NginX使用异步事件驱动的方法来处理请求,是一款面向性能设计的HTTP服务器。 传统的Web服务器如Apache是process-based模型的,而Nginx是基于event-driven模型的。正是这个主要的区别
浏览器安全之同源策略
xxx
06-28 1314
明确定义集成系统之间的接口和端点。确定HTTP请求和响应的格式,包括使用的数据编码格式(如JSON或XML),以及请求和响应的头部信息。定义HTTP的接口,首先应该确定接口功能和目标,明确接口的目的和提供的功能。确定接口所要实现的业务逻辑或服务,并理解它在整个系统中的角色和作用。然后选择HTTP方法和端点,根据接口的功能,选择合适的HTTP方法(如GET、POST、PUT、DELETE等)来表示接口的操作类型。同时,定义接口的端点(Endpoint),即接口的URL路径,例如:/api/users。
浏览器同源策略
m0_58782068的博客
02-16 160
详细讲解浏览器同源策略和跨域问题
浏览器同源策略机制
subsistent的博客
02-16 451
所以我们可以将请求发送到自己服务器,然后自己服务器去请求目标接口资源,最后自己服务器将接口资源返回给当前页面,类似于找外援代替自己请求目标接口资源。通常请求请求回来的资源要在js中进行处理,所以jsonp跨域是利用script标签进行发送,且这种请求方式只能是get请求。但当一个项目变的很大的时候,将所有内容放在一个网站或一个服务器中会让网站变的臃肿且性能低下,所以,在一些场景中,我们需要跨过同源策略,请求到不同源的接口资源,这种场景叫跨域。同源策略,指的是浏览器限制当前网页只能访问同源的接口资源。
关于python 跨域处理方式详解
01-20
因为浏览器同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http...
一看就懂:jsonp详解
01-19
首先基于安全的原因,浏览器是存在同源策略这个机制的,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。看起来不知道什么意思,实践一下就知道了。 1、随便建两个网页 一个端口是2698,...
Isaura Chrome extension-crx插件
04-02
跨域是Web开发中的一个重要概念,它涉及到浏览器同源策略同源策略浏览器实施的一项安全政策,旨在防止恶意网站窃取或篡改来自其他源的数据。然而,有时开发者需要从不同的域名下获取数据,例如,一个应用可能...
魂签一款用于自动签到的chrome插件
08-11
3. **跨域请求(CORS)**:由于浏览器同源策略限制,插件可能需要与不同源的网站进行通信,这需要服务器端设置CORS(跨源资源共享),允许来自插件的请求。 4. **网页元素操作**:通过DOM(文档对象模型)操作,...
在vue中使用axios实现post方式获取二进制流下载文件(实例代码)
10-15
这是因为浏览器同源策略限制了对某些HTTP响应头的访问。为了解决这个问题,后端需要设置`Access-Control-Expose-Headers`,将`Content-Disposition`包含在内: ```java response.setHeader("Access-Control-...
浏览器同源策略
最新发布
Karka_的博客
01-03 957
我们可以设想这样一个场景:学校开放了一个窗口给家长,让家长可以通过窗口询问孩子的成绩。班级里面的每个学生都是互不相关、互不影响的个体,每个学生和家长都来自同一个家庭。当同一个家庭里面的家长询问孩子的成绩,窗口就会给出相应的数据。如果不同家庭的家长来询问其他学生的成绩,窗口都给出应答,这样孩子成绩的安全性就没法得到保证。这样不就乱套了吗?如果两个URL是协议端口(port)、域名(host)都相同的话,那么这两个URL就是同源的。下表给出了与URLURL结果原因同源只是路径不同同源只是路径不同。
浏览器同源策略是什么?
DANGLi_的博客
03-30 180
浏览器同源策略(Same-Origin Policy)是一种安全机制, 它限制了一个网页文档或脚本如何与另一个源(协议,主机和端口)的资源进行交互。例如:https://www.example.com和https://www.example.com:443是同源的,https://www.example.com和http://www.example.com不是同源的。如果没有同源策略的限制,攻击。同源策略的限制是基于源的三个组成部分:协议、主机和端口。源共享(CORS)或者代理等技术来绕过同源策略的限制。
什么是浏览器同源策略?如何处理同源策略带来的跨域问题?
xxx
07-19 1158
浏览器同源策略(Same-Origin Policy)是一种安全机制,用于限制一个网页文档或脚本如何与来自不同源的资源进行交互。同源是指两个 URL 的协议、主机和端口号都相同。同源策略的目的是保护用户的隐私和安全。它可以防止恶意网站通过脚本访问其他网站的敏感信息或进行恶意操作。同源策略主要限制以下几个方面的交互:跨域资源读取:在浏览器中,一个网页只能通过 AJAX、WebSocket 或 Fetch API 等方式来请求同源网站的数据。
【每天学习一点新知识】浏览器同源策略
RexHa的博客
10-19 1107
一个域名地址由协议、域名、端口、请求资源地址等部分组成。如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源,即便两个不同的域名指向同一个 ip 地址,也非同源。下表给出了与 URL的源进行对比的示例:URL结论原因同源只有路径不同同源只有路径不同不同源协议不同不同源端口不同 (http://默认端口是 80)不同源主机不同。
前端人员都懂的浏览器同源策略,以及如何进行不同源间的相互访问
零一的博客
05-28 6685
同源策略引言正文一、同源策略的定义 引言 作为前端开发人员,你要是连同源策略都不知道是什么,那就太说不过去了。本篇文章将讲述同源策略的定义, 以及当我们需要克服同源策略,如何进行跨域访问数据的方法。 正文 一、同源策略的定义 同源策略浏览器自带的一种安全策略,他是指协议、域名、 端口 三个都相同的才能互相访问。 那既然有同源的概念,那必定有不同源的概念,接下来我们来看一个组例子, 理解一下什么是同源,什么是不同源。 项目 Value 电脑 $1600 手机 $12 导管 $1
浏览器同源政策及其规避方法
aoquandao8917的博客
04-12 801
作者:阮一峰 摘自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 ...
Web安全:从数据通道到浏览器同源策略
浏览器安全方面,介绍了源(Origin)的概念和同源策略,作为防止跨域资源访问的重要机制,保护用户信息安全。同源策略允许JavaScript仅能访问同源资源,但可以通过JSONP和iframe等技术绕过限制。" 在Web安全领域,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值