跨域的方式

最新推荐文章于 2024-05-23 12:43:41 发布
最新推荐文章于 2024-05-23 12:43:41 发布
阅读量197 收藏
点赞数
文章标签: 浏览器 域名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35588037/article/details/52879225
版权

为什么要跨域?

跨域问题是浏览器同源策略限制,当前域名的js只能读取同域下的窗口属性。 
一个网站的网址组成包括协议名,子域名,主域名,端口号。比如https://www.github.com/80,其中https是协议名,www是子域名, 
github是主域名,端口号是80,当在在页面中从一个url请求数据时,如果这个url的协议名、子域名、主域名、端口号任意一个有一个不同, 
就会产生跨域问题。即使是在 http://localhost:80/ 页面请求 http://127.0.0.1:80/ 也会有跨域问题(因为域名不一样嘛~) 
PS:下浏览器中的 file://域拥有的权限很高,WebKit可以读取磁盘上的文件,IE可以执行CMD,这里大家可以尽情发挥想象,能做的事情太多了!

跨域姿势小结

  1. 最简单也最常见:使用jsonp ,即json with padding(内填充),顾名思义,就是把JSON填充到一个盒子里
  2. 一劳永逸:直接在服务器端设置跨域资源访问 CORS(Cross-Origin Resource Sharing),设置Request Header头中Access-Control-Allow-Origin为指定可获取数据的域名
  3. 找”爸爸”:通过修改document.domain来跨子域
  4. 哥俩好:通过window.name来跨域接收数据
  5. 新石器时代:使用HTML5的window.postMessage方法跨域

jsonp

核心思想:浏览器的script、img、iframe标签是不受同源策略限制的 ,所以通过script标签引入一个js文件,这个js文件载入成功后会执行我们在url参数中指定的callback函数,并把把我们需要的json数据作为参数传入。在服务器端,当req.params参数中带有callback属性时,则把数据作为callback的参数执行,并拼接成一个字符串后返回。 
- 优点:兼容性好,在很古老的浏览器中也可以用,简单易用,支持浏览器与服务器双向通信。 
- 缺点:只支持GET请求,且只支持跨域HTTP请求这种情况(不支持HTTPS

网页端的代码如下 
jsonp 
创建一个函数tryJSONPadding,并在script标签的源地址中加入这个函数名,服务器端(Node.js写的后端)的处理如下 
服务器端的处理

CORS

核心思想:在服务器端通过检查请求头部的origin,从而决定请求应该成功还是失败。具体的方法是在服务端设置Response Header响应头中的Access-Control-Allow-Origin为对应的域名,实现了CORS(跨域资源共享),这里出于在安全性方面的考虑就是尽量不要用 *,但对于一些不重要的数据则随意。下图是某公司阿里云服务器上的CORS设置 
CROS

寻找相同主域document.domain

对于以下的这两个域名,可以看到他们的主域名都是 example.com,相同于有一个共同的爸爸,且此方法只适用于两个iframe之间的跨域

http://www.example.com/a.html 和http://bbs.example.com/b.html)

下面是另外一篇文章中的例子。 
框架一 
框架二

window.name

window对象中其实包含了黑魔法的,window.name属性就是其中之一,不同域的框架把想要共享的信息放在window.name里面,且此方法只适用于两个iframe之间的跨域

a.com/getDomainData.htmla.com/getDomainData.htmlb.com/data.htmlb.com/data.htmla.com/null.htmla.com/null.html获得数据将iframe的src改为a.com/null.html,跳回原来的域执行回调函数,并销毁iframe,关闭null.html
  1. 在a.com网站添加一个空HTML页。名称为:http://a.com/null.html (用于实现二次跳转) 
    这里写图片描述
  2. 在a.com网站需要获取数据页面(如:http://a.com/getDomainData.html)获取数据]![获取数据
  3. 在b.com中添加获取数据页面 如:http://b.com/data.html 内容需包含:这里写图片描述 
    接下来访问 http://a.com/getDomainData.html 就可返回 http://b.com/data.html 中的window.name中的数据了。

HTML5 中的window.postMessage方法

window.postMessage(message,targetOrigin) 方法是HTML5新引进的特性,可以使用它来向其它的window对象发送消息,无论这个window对象是属于同源或不同源,目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法。这种方法不能和服务端交换数据,只能在两个窗口(iframe)之间交换数据 
www.example.com中主动发起连接 
发起连接 
处于安全考虑,另一个域下的脚本中需要验证消息orgin来源后为http://www.example.com后再发送消息 
验证后发送消息 

event对象,这里的origin为http://localhost:81,仅作为演示 


clearCache
关注
MPLS Virtual Private Network的三种跨域方式详解
嚴 帅的博客
09-19 4359
RFC4363中提出了三种跨域Virtual Private Network解决方案,分别是: 跨域VPN-Option A方式:需要跨域的VPN在ASBR间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF; 跨域VPN-Option B方式:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为EBGP redistribution of labeled VPN-IPv4 routes; 跨域VPN-Option C方式:PE间通过Multi-hop MP-EBGP发布标签V
详解基于浏览器同源策略的几种跨域方式
09-22
在JSONP方式中,前端代码会创建一个script元素,并将其src属性指向需要跨域请求的URL,同时带上一个回调函数作为URL的查询参数。后端服务器接收到请求后,将返回一段JavaScript代码,并在其中调用前端指定的回调...
Chrome_Clear_Cache:用于清除 Google-Chrome 缓存的批处理文件(适用于 Windows)
07-13
Chrome_Clear_Cache 用于清除 Google-Chrome 缓存的批处理文件 在 Windows-8,8.1 上检查兼容性 我在 Google-Chrome 中遇到多功能框/网址栏的问题因为它对每次击键的React都非常缓慢...... 经过一番谷歌搜索后,我发现这是浏览器缓存的问题。 保存此批处理文件然后以管理员权限运行它后,可以清除谷歌浏览器缓存并继续使用多功能框的惊人之处:) 为了避免每次都以管理员权限运行它的麻烦,请按照以下步骤操作: 1>创建批处理文件的快捷方式。 2>右键单击快捷方式文件并转到属性。 3>在快捷方式选项卡中,单击高级。 4>选中以管理员身份运行复选框,然后单击确定。 现在,每当您的多功能框/网址栏开始变慢时,只需双击此快捷方式文件即可解决问题。 :) 您可以在批处理文件中硬编码您的系统用户,以避免每次都输入它 浏览愉快:)
八种方式实现跨域请求
热门推荐
李刚的学习专栏
06-11 8万+
前端开发中我们经常会遇到跨域请求的情况,处理跨域请求方式很多,特整理如下: 浏览器的同源策略​ 提到跨域不能不先说一下”同源策略”。 ​ 何为同源?只有当协议、端口、和域名都相同的页面,则两个页面具有相同的源。只要网站的 协议protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用,会受到同源策略的限制。 ​ 同源策略限制从
跨域的几种方式
前端攻城狮进阶记
07-06 1万+
什么是跨域:协议、端口号、域名 都相同才是同一个域 只要有一个不同就算是跨域但是实际工作中,尤其是大公司,经常遇到需要跨域的情况跨域的几种方式跨域的几种常见的方式有: jsonp iframe flash postmessage 下面一一介绍:
九种跨域方式
qq_50478998的博客
05-14 963
九种跨域方式实现原理(完整版) 前言 前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。 本文完整的源代码请猛戳GitHub博客,纸上得来终觉浅,建议动手敲敲代码 一、什么是跨域? 什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略限制内容有: Cookie、Local
浅析九种跨域方式实现原理
AIwenIPgeolocation的博客
01-06 1627
我们在解决一个问题的时候应该先去了解这个问题是如何产生的,为什么会有跨域的存在呢?其实,最终的罪魁祸首都是浏览器的同源策略,浏览器的同源策略限制我们只能在相同的协议、IP地址、端口号相同,如果有任何一个不通,都不能相互的获取数据。并且,http和https之间也存在跨域,因为https一般采用的是443端口,http采用的是80端口或者其他。 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两
跨域跨域方式
星河梦~的博客
03-18 1568
目录跨域前言为什么要跨域跨域方式跨域资源共享(CORS)通过JSONP跨域 跨域 前言 同源和跨域的相关知识,在这里就不多说了。了解请点击:同源与跨域策略 简单来说:浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域。 为什么要跨域 在同源策略的限制下,是不能向工作在不同源的服务请求数据的。但是为了保护网页的安全性,不能把不同源的域名都拒之门外。这就需要跨域,来实现跨域访问的需求。 在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问问题。 跨域问题是针对JS
九种跨域方式实现原理(完整版)
weixin_57509111的博客
05-23 2336
同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。Cookie、LocalStorage、IndexedDB 等存储性内容DOM 节点AJAX 请求发送后,结果被浏览器拦截了CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案。
常见的跨域方式有哪些(面试题)
weixin_60011603的博客
03-30 1589
1.通过jsonp跨域 2.document.domain+iframe跨域 3.location.hash+iframe 4.window.name+iframe跨域 5.postMessage跨域 6.跨域资源共享 7.nginx代理跨域 8.nodejs中间件代理跨域 9.WebSocket协议跨域 jsonp 原理与本质:函数调用与定义 ,script本身属于一次性标签,所以需要动态创建script,请求一次就需要创建一次script,通过src动态引入我们的函数调用,通过函数调用的参数,将数据传递
彻底明白前端常用的几种跨域方式
01-15 2785
说到跨域,首先要理解什么是跨域浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域。 一.跨域基础知识 http://www.a.com:8080/a.html http://为协议,www为子域名,a.com为主域名,8080为端口,a.html为资源地址,当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了,浏览器认为这不安全
Vue项目前后端联调(使用proxyTable实现跨域方式)
01-19
vue本地项目调试线上接口出现跨域问题 使用方法:vue在配置文件中提供了proxyTable来设置跨域,在config文件夹的index.js文件中 dev: { //开发环境下 // 静态资源文件夹 assetsSubDirectory: 'static', // 发布...
「JavaScript」JS四种跨域方式详解
04-04
本文将详细介绍四种主要的JavaScript跨域方式:JSONP、修改`document.domain`、使用`window.name`以及HTML5的`window.postMessage`。 ### 1. JSONP(JSON with Padding) JSONP是一种解决跨域问题的早期方法,它利用...
解决chrome阻止跨域方式
MisTTT的博客
07-24 5814
解决chrome对跨域请求禁止的约束:在命令行执行命令:TASKKILL /F /IM chrome.exe start chrome.exe --args --disable-web-security --user-data-dir pause很多情况都会造成开发人员开发项目与服务器不在同一个环境的情况,这时本地的项目代码请求不到服务器的数据,准确地说是请求到数据,但是并没有走success的回调
ssm智能家政保洁预约系统最新完整版程序+论文.zip
10-18
基于SSM框架的智能家政保洁预约系统,是一个旨在提高家政保洁服务预约效率和管理水平的平台。该系统通过集成现代信息技术,为家政公司、家政服务人员和消费者提供了一个便捷的在线预约和管理系统。 系统的主要功能包括: 1. **用户管理**:允许消费者注册、登录,并管理他们的个人资料和预约历史。 2. **家政人员管理**:家政服务人员可以注册并更新自己的个人信息、服务类别和服务时间。 3. **服务预约**:消费者可以浏览不同的家政服务选项,选择合适的服务人员,并在线预约服务。 4. **订单管理**:系统支持订单的创建、跟踪和管理,包括订单的确认、完成和评价。 5. **评价系统**:消费者可以在家政服务完成后对服务进行评价,帮助提高服务质量和透明度。 6. **后台管理**:管理员可以管理用户、家政人员信息、服务类别、预约订单以及处理用户反馈。 系统采用Java语言开发,使用MySQL数据库进行数据存储,通过B/S架构实现用户与服务的在线交互。系统设计考虑了不同用户角色的需求,包括管理员、家政服务人员和普通用户,每个角色都有相应的权限和功能。此外,系统还采用了软件组件化、精化体系结构、分离逻辑和数据等方法,以便于未来的系统升级和维护。 智能家政保洁预约系统通过提供一个集中的平台,不仅方便了消费者的预约和管理,也为家政服务人员提供了一个展示和推广自己服务的机会。同时,系统的后台管理功能为家政公司提供了强大的数据支持和决策辅助,有助于提高服务质量和管理效率。该系统的设计与实现,标志着家政保洁服务向现代化和网络化的转型,为管理决策和控制提供保障,是行业发展中的重要里程碑。
东方财富网抓取上市公司爬虫-EMSpider.zip
最新发布
10-18
东方财富网抓取上市公司爬虫-EMSpider
卫生健康系统-java-基于springBoot智能推荐的卫生健康系统(毕业论文+开题)
10-18
本基于智能推荐的卫生健康系统有管理员和用户两个角色。用户功能有个人中心,健康视频管理,视频类型管理,科室类型管理,医生信息管理,在线预约管理,我的收藏管理等。管理员功能有个人中心,用户管理,健康视频管理,视频类型管理,科室类型管理,医生信息管理,在线预约管理,健康论坛管理,我的收藏管理,留言板管理,系统管理等。因而具有一定的实用性。 本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得基于智能推荐的卫生健康系统管理工作系统化、规范化。
如何解决跨域 并说出ajax与解决跨域方式的区别
04-13
其中,CORS是一种官方标准的解决跨域问题的方式,可以在服务端设置Access-Control-Allow-Origin和Access-Control-Allow-Methods等Header来允许跨域请求。而JSONP则通过动态添加标签,把数据作为回调函数的参数返回,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值