【安全系列之跨域】跨域解决方案

已于 2022-02-19 19:02:14 修改
阅读量1.9k 收藏 5
点赞数 1
分类专栏: 日常编程 记录 微服务 文章标签: 前端 javascript ajax
于 2022-02-19 17:38:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35789269/article/details/123020456
版权

一、为什么会出现跨域问题

出于浏览器的同源策略限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

二、什么是跨域

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域,举几个例子:
请添加图片描述

三、非同源限制

【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB

【2】无法接触非同源网页的 DOM

【3】无法向非同源地址发送 AJAX 请求

四、跨域解决方法

跨域大致可以分为三种解决方案:

  1. 服务端进行设置默认允许某些域名跨域访问
  2. 从客户端入手想办法绕开同源安全策略
  3. 使用代理服务器

不建议在前端利用什么 JSONP,iframe+domain 等来实现跨域请求,这种本质是绕过了欺骗了浏览器,起不到安全防护的作用。所以我们主要从服务端或者代理入手。
跨域请求究竟发出去没有?
跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。你可能会疑问明明通过表单的方式可以发起跨域请求,为什么 Ajax 就不会?因为归根结底,跨域是为了阻止用户读取到另一个域名下的内容,Ajax 可以获取响应,浏览器认为这不安全,所以拦截了响应。但是表单并不会获取新的内容,所以可以发起跨域请求。同时也说明了跨域并不能完全阻止 CSRF,因为请求毕竟是发出去了。

CORS

目前标准的跨域解决方案是CORS,CORS 是跨域资源分享(Cross-Origin Resource Sharing)的缩写。它是 W3C 标准,属于跨源 AJAX 请求的根本解决方法。(有人容易将CORS和跨域划等号,其实他们一个是问题一个是解决方案)

它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的域,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器上声明了允许 A 的域名访问,那么从 A 到 B 的跨域请求就可以完成。对于那些会对服务器数据产生副作用的 HTTP 请求,浏览器会使用OPTIONS 方法发起 一个预检请求(preflight request),从而可以获知服务器端是否允许该跨域请求,服务器端确认允许后,才会发起实际的请求。在预检请求的返回中,服务器端也可以告知客户端是否需要身份认证信息。我们只需要设置响应头,即可进行跨域请求。主要是服务器端设置Access-Control-Allow-Origin头

*CORS 和前端没什么关系,但是标准的CORS请求不对cookies做任何事情,既不发送也不改变。想要传递cookie,需要客户端与服务端共同设置
1、普通跨域请求:只需服务器端设置Access-Control-Allow-Origin
2、带cookie跨域请求:前后端都需要进行设置,当需要传递cookie时,Access-Control-Allow-Origin 不能设置为 * 号,必须为具体的一个域名。同时,服务端需要设置 Access-Control-Allow-Credentials 为 true。表示服务端同意发送cookie。客户端需要设置Ajax请求属性withCredentials=true,让Ajax请求都带上Cookie
【前端设置】根据xhr.withCredentials字段判断是否带有cookie
①原生ajax

var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容
// 前端设置是否带cookie
xhr.withCredentials = true;
xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr
最低0.47元/天 解锁文章
人工智
关注
专栏目录
Python项目跨域问题解决方案
12-17
首先,我们来看第一个解决方案,通过`ALLOWED_HOSTS`配置。在Django项目的`settings/dev.py`文件中,你可以定义`ALLOWED_HOSTS`列表,列出允许访问后端服务的客户端域名。例如: ```python ALLOWED_HOSTS = ['api....
浏览器跨域访问安全问题
一念流转
04-08 1110
1、问题描述: 首先在后台实现一个get1的响应,然后在本地浏览器访问,如图所示: 然后再启动一个服务,端口设为8081,然后在本地浏览器访问此IP,如果在此IP里访问端口为8080的IP时,会出现跨域问题,如图所示: 2、产生跨域问题的原因: 1)浏览器限制。跨域的根本原因在于浏览器在前台做的限制。 2)跨域。包括协议、域名和端口。 3)发送的是xhr(XMLHTTPRequest)请求。...
跨域引发的Web安全思考
dzqxwzoe的博客
01-31 618
面试时常会出现跨域的解决方式,那么从为什么会产生跨域思考,就会有很多相关的知识跳出来了。也会帮助把以前不相关的知识点串联起来。web 浏览器中包含javascript解释器,也就是说,一旦载入Web页面,就可以让任意的JavaScript代码在计算机里执行。这就造成了很大的安全隐患。攻击者可能会读取或修改数据、盗取隐私等。
安全(2)——跨域问题理解与解决
最新发布
大梁来了的博客
08-18 2070
跨域安全
浅谈跨域安全
黑白的博客
09-16 5566
跨域问题对于我本人来说一直是一个很头疼的问题,因为每次听到什么CORS啊、JSONP啊等等就会不知所措,其实如果从开发的角度深入进去,就是很简单的串门。看了B站蜗牛学苑的视频,终于把跨域完全理解了。接下来,让我们从JSONP、CORS和CSP三个部分,深入理解跨域问题,如果有一起做实验的,希望可以提前准备好两台服务器+每台服务器上部署一个web服务请把握好这两句话,带着这两句话拿下跨域
web 跨域请求安全问题
Web_boom的博客
08-23 1113
说起前端安全问题,大部分都听过 XSS 和 CSRF 这两个名词,前端面试中我们也经常会问这两个点作为 web 安全的一些基础考察。但大部分只是从浅谈辄止,停留在基本词义,很少有人真正去主动实践过安全,并且思考背后的关联。前端安全主要来源两个方面,一个是不安全的脚本、另一个是不安全的请求,前者代表各种 XSS 等注入脚本的手段、后者则发起非法的请求,CSRF 是代表。
未识别网络(或身份验证未成功)--解决办法
热门推荐
蜂蜜柚子茶
03-10 3万+
在学校网络中连接有线网络时出现“身份验证未成功”的问题,现在就说一下怎么解决这个问题。第一,检查自己的ip(右击以太网,点击属性,找到IP4,就可以检查了),还有dns看看有没有配置错误,如有错误,及时更正,插网线尝试连接。若还是未成功,执行第二步。第二,检查自己的网关配置(步骤如下图),如有错误,及时更正,插网线尝试连接。若未成功,在执行第三步。(我的电脑用360绑定的。)大家主界面以后,点击右...
jQuery跨域问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS跨域访问’)”); ...
Vue项目中跨域问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
laravel开发中跨域的解决方案
12-20
前言 ...下面话不多说了,来随着小编一起看看详细的解决方案吧。 解决方案: 1、新建一个中间件 php artisan make:middleware EnableCrossRequestMiddleware 2、书写中间件内容 <?php namespa
HTML5安全风险详析
fstudio
12-06 2431
HTML5安全风险详析之一:CORS攻击 一、从SOP到CORS SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示: 后来出现了CORS
跨域问题的解决方式
qq_36744284的博客
09-27 397
如何解决跨域问题
浏览器跨域问题的9种解决方法
柯晓楠
03-31 1万+
什么是跨域跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 这里说明一下,无法跨域是浏览器对于用户安全的考虑,如果自己写个没有同源策略的浏览器,完全不用考虑跨域问题了。是浏览器的锅,对。 同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请...
webpack-dev-server使用proxy跨域cookie问题
qq_36297981的博客
04-25 7951
如今前后端分离的的开发模式越来越成为主流,前后端分离的开发模式确实给开发带来了诸多便利, 但也带来了一些小问题,比如跨域的问题,因为前后端分开的开发模式,在开发过程中前端项目和后端项目运行在不同的源下,所以跨域问题成了前后端分离开发过程中的主要问题。 这几天,我在做一个前端小项目的时候也遇到了跨域问题,由于后台接口调用的是别人的接口,而该接口没有提供跨域访问,所以不得不使用webpack-dev-...
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
m0_67392010的博客
07-27 5140
以上就是今天要讲的内容,本文仅仅简单介绍了用nginx来解决Access-Control-Allow-Origin跨域问题;
关于同源与跨域问题,以及解决方法(八种)
MrLee的博客
06-26 7257
一,什么是跨域 就是跨域名,跨端口,跨协议 例如:如果有两个服务器,服务器A和服务器B,服务器A上存储了php数据,script,甚至是css这些文件,而你在服务器B上只写了html,然后你所在的服务器B上动态创建script,css,php数据(使用ajax请求),向服务器A上请求你想要的script,css,php数请求据(使用ajax)这些文件,请求这些文件后,你再在服务器B上运行你的ht...
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
qq_50523945的博客
06-06 1万+
另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。给Nginx服务器配置`Access-Control-Allow-Origin *`后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。
网络安全跨域原理及如何实现跨域
2201_75857869的博客
02-08 372
我们在解决一个问题的时候应该先去了解这个问题是如何产生的,为什么会有跨域的存在呢?其实,最终的罪魁祸首都是浏览器的同源策略,浏览器的同源策略限制我们只能在相同的协议、IP地址、端口号相同,如果有任何一个不通,都不能相互的获取数据。并且,http和https之间也存在跨域,因为https一般采用的是443端口,http采用的是80端口或者其他。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。
8种前端js跨域问题解决方案详解
本文将深入探讨前端开发中常见的跨域问题及其解决方案。由于浏览器的同源策略,JavaScript在与非同源资源通信时会受到限制,这导致了前端开发者在处理涉及不同域名、协议或端口的情况时遇到挑战。本文共提供了8种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值