浏览器的同源政策是什么?如何解决跨域问题?ajax如何实现跨域?

最新推荐文章于 2023-08-29 21:50:07 发布
最新推荐文章于 2023-08-29 21:50:07 发布
阅读量287 收藏
点赞数 2
分类专栏: 前端 文章标签: ajax js ajax跨域问题 javascript http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36150316/article/details/119599857
版权

文章目录

一、浏览器的同源政策是什么?

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。——来自MDN解析

简单来说就是:一个域下的 js 脚本在未经允许的情况下,不能够访问另一个域的内容

浏览器同源是指协议、端口、域名必须一样的,不然就不是同一个域的

二、浏览器同源政策有哪些限制?

目的:为了保护用户的信息安全,也是对 js 脚本的限制,不是对浏览器的限制,一般来说 img、script
请求都不会有跨域的限制,因为这些操作都不会通过响应结果来进行可能出现安全问题的操作

1.限制 JS 不能访问别的域里面的东西,cookie,localStorage,indexDB
2. 限制当前域下的 js 不能访问其他域的 DOM
3. 当前的ajax 不能发布跨域请求

三、如何解决跨域问题?

如果只需要实现主域名下的不同子域名的跨域操作,可使用 document.domain

  • 将 document.domain 设置为主域名,来实现相同子域名的跨域操作,这个时候主域名下的 cookie 就能够被子域名所访问。
  • 同时如果文档中含有主域名相同,子域名不同的 iframe 的话,我们也可以对这个 iframe 进行操作。

如果是想要解决不同跨域窗口间的通信问题,可以使用 location.hash 或者 window.name 或者 postMessage 来解决。

比如说一个页面想要和页面的中的不同源的 iframe 进行通信的问题,我们可以使用上面的方法解决

(1) location.hash ,我们可以在主页面动态的修改 iframe 窗口的 hash 值,然后在 iframe 窗口里实现监听函数来实现这样一个单向的通信。因为在 iframe 是没有办法访问到不同源的父级窗口的,所以我们不能直接修改父级窗口的 hash 值来实现通信,我们可以在 iframe 中再加入一个 iframe ,这个 iframe 的内容是和父级页面同源的,所以我们可以 window.parent.parent 来修改最顶级页面的 src,以此来实现双向通信。

(2) window.name ,主要是基于同一个窗口中设置了 window.name 后不同源的页面也可以访问,所以不同源的子页面可以首先在 window.name 中写入数据,然后跳转到一个和父级同源的页面。这个时候级页面就可以访问同源的子页面中 window.name 中的数据了,这种方式的好处是可以传输的数据量大。

(3) postMessageh5 中新增的一个 api。通过它我们可以实现多窗口间的信息传递,通过获取到指定窗口的引用,然后调用 postMessage 来发送信息,在窗口中我们通过对 message 信息的监听来接收信息,以此来实现不同源间的信息交换。

四、ajax 无法提交跨域请求怎么办?

我们可以使用 jsonp、cors、websocket 协议、服务器代理来解决问题。

(1)jsonp, 实现跨域请求是通过动态构建 script 标签来实现跨域请求,上面有提到说跨域请求是对 js 的限制,像 img 和 script 是不限制的,这个就是利用这一点,通过请求的 url 后制定一个回调函数,然后服务器在返回数据时候,构建一个 json 的数据包,这个包就是回调函数,然后返回给前端。又因为请求的是脚本文件,所以就会直接执行,这样子我们提前定义好的回调函数就可以被调用,从而实现了跨域请求的处理。

不过这个只用于 get 请求。 如果看过 JSONP 库的源码就知道,常见的实现代码其实就是 document.createElement('script') 生成一个 script 标签,然后插 body ,哪有设置请求格式的余地,不是 get 是啥

(2)CORS,一个 W3C 标准,全称是跨域资源共享。需要浏览器和服务器同时支持,现在大部分浏览器都支持,所以咱们考虑服务器就好了。

(3)webscokt,一句话,这个协议没有同源限制。

PS: 为什么 webscokt 协议没有同源限制?

因为 websocket 使用类似 ws:// 这样的方式进行连接,并不是使用 http 协议进行数据传输,所以浏览器的无法限制它。

而且人家本来就是设计成支持跨域访问的协议的(滑稽),在 websocket 请求的请求头中会像 CORS 一样加入 origin 字段,服务端可以根据这个字段来判断是否通过该请求,是不是很奈斯!

(4)使用服务器来代理跨域的访问请求,相当于是把工作场地换了,换成后端代请求,然后把获取的结果返回给前端。

额外说一嘴子:CORS 分简单请求和非简单请求:

  • 简单请求:会在头信息添加 Origin 字段,说明来自哪个源,服务器根据这个值里决定是否同意这个请求,发现 Origin 在允许的范围内,服务器就会返回一个正常的 HTTP 回应,会包含 Access-Control- 开头的字段。

    如果是不允许的范围内,这个回应头信息就不会携带 Access-Control-Allow-Origin 字段,就会抛出一个错误,ajax 就不会得到响应消息

  • 非简单请求:在发送请求之前会搞一个预检请求,来判断该域名是否在服务器的白名单中,收到肯定回复后才会发起请求,不然连发起请求的资格都没有哦(太惨了)

感谢你看到这里,笔芯❤,对你有帮助的话留个赞呗,咪揪~

参考文章:https://github.com/CavsZhouyou/
超级无敌小湾娘
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax请求跨域问题解决方案分析
12-11
本文实例讲述了Ajax请求跨域问题解决方案。分享给大家供大家参考,具体如下: 几乎每种浏览器都存在默认的安全机制,都有同源策略,因为浏览器恶意的把每个外部请求的都当做是黑客攻击,相当于是对自身的保护,所以浏览器在运行脚本时会判断脚本与请求的页面是否是同一来源,这个同一来源,包括1、协议,2、地址,3、端口,只有三者都相同才被认为是同一来源。 一、解决方案: 1,在服务器端的响应头中添加一个http参数: res.setHeader("Access-Control-Allow-Origin", "*"); res.setHeader('Access-Control-Allow-Methods'
JSONP跨域GET请求解决Ajax跨域访问问题
12-03
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。实现方法有多种,本例采用jQuery+Ajax,完成后,在本地调试了一切ok,但是部署到服务器上以后就出现问题了,后台服务调用没有响应,怎么回事?代码没怎么改动,唯一修改的地方就是jQuery的ajax方法中的url地址。难道是这里的问题,经过检查和调试,发现原来是同源策略在作怪,我们知道,JavaScript或jQuery是在Web前端开发中经常使用的动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
ajax跨域,这应该是最全的解决方案了
02-25
关于跨域,有N种类型,本文只专注于ajax请求跨域(ajax跨域只是属于浏览器"同源策略"中的一部分,其它的还有Cookie跨域iframe跨域,LocalStorage跨域等这里不做介绍),内容大概如下:什么是ajax跨域原理表现(整理了一些遇到的问题以及解决方案)如何解决ajax跨域JSONP方式CORS方式代理请求方式如何分析ajax跨域http抓包的分析一些示例ajax出现请求跨域错误问题,主要原因就是因为浏览器的“同源策略”,可以参考浏览器同源政策及其规避方法(阮一峰)CORS是一个W3C标准,全称是"跨域资源共享"(Cross-originresourcesharing)。它允许浏
Ajax请求WebService跨域问题解决方案
12-10
1、背景   用Jquery中Ajax方式在asp.net开发环境中WebService接口的调用 2、出现的问题 原因分析:浏览器同源策略的影响(即JavaScript或Cookie只能访问同域下的内容); 3、解决方案: (1) JSONP:只支持GET方式 (2) CROS:跨域资源共享 以下为CROS解决方案:   a.在WebService接口加上响应头信息:   b.在web.config文件中加上相关配置节信息: 运用a或者b的解决方案后,浏览器头信息中变动如下: 最终问题得以较好的解决,但对于此方案各个浏览器支持情况不同,附图如下: 以上所述是小编给大家介绍的Aja
Ajax跨域问题 解决方案
11-09
关于跨域,有N种类型,本文只专注于ajax请求跨域(,ajax跨域只是属于浏览器同源策略”中的一部分,其它的还有Cookie跨域iframe跨域,LocalStorage跨域等这里不做介绍),内容大概如下: 什么是ajax跨域 o原理 o表现(整理了一些遇到的问题以及解决方案) 如何解决ajax跨域 oJSONP方式 oCORS方式 o代理请求方式 如何分析ajax跨域 ohttp抓包的分析 o一些示例
7.浏览器原理之浏览器同源策略
qq_42349528的博客
02-25 3393
目录1.什么是同源策略2.如何解决跨域问题3.正向代理和反向代理的区别4.NginX的概念及其工作原理 1.什么是同源策略 2.如何解决跨域问题 3.正向代理和反向代理的区别 4.NginX的概念及其工作原理 NginX是一款轻量级的Web服务器,也可以用于反向代理,负载均衡和HTTP缓存等。NginX使用异步事件驱动的方法来处理请求,是一款面向性能设计的HTTP服务器。 传统的Web服务器如Apache是process-based模型的,而Nginx是基于event-driven模型的。正是这个主要的区别
同源策略与解决方法
最新发布
weixin_45827423的博客
08-29 935
同源策略(same origin policy),一种安全策略,用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。浏览器默认两个不同的源之间是可以互相访问资源和操作 DOM 的。两个不同的源之间若是想要访问资源或者操作 DOM,就会受到同源策略的制约。
同源政策(same-origin policy)
TKOP_的博客
04-20 1662
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
浏览器同源策略
zg0601的博客
01-08 3295
同源策略
浏览器同源跨域概念
H4ppyD0g的博客
10-16 450
浏览器同源策略是为了实现同源的tab页(一个tab就是浏览器中一个标签页)之间相互隔离的一种安全策略。 可以理解为一个源内的脚本只能作用与本源内的资源,无法访问其他源的资源。 同源是指:协议、域名、端口都相同。这是一个三元组,源和域是一个意思。 非同源就是其中任何一个不相同。 非同源的限制,跨域限制主要的目的就是为了用户的上网安全 不能读取 cookie 无法获得dom 不能发送ajax请求 ...
webscoket的简单使用
yangyanqin2545的博客
11-07 519
webscoket的简单使用 1、第一步:需要建立一个全局的js文件,我在这里取名为global.js export default { ws: {}, setWs: function (newWs) { this.ws = newWs; }, }; 2、第二部:将刚刚新建的文件夹引入main.js文件中进行全局注册 import gloabl from '@/assets/utils/global'; Vue.prototype.$global = gloabl; 3、在入口文件A
web服务器开发需要用到的sock函数
zsiming的博客
05-02 573
web服务器开发需要用到的sock函数 1. socket函数 **用法:**用来创建套接字。 int socket(int af, int type, int protocol); 参数: 参数 解释 可选 af 地址族协议 1. IPv4使用AF_INET2. IPv6使用AF_INET6 type 数据传输方式/套接字类型 1. SOCK_STREAM(流格式套接字/面向连接的套接字)2. SOCK_DGRAM(数据报套接字/无连接的套接字) protocol 传输协议 1.
简单使用webscoket实现长链接
weixin_68966058的博客
07-19 303
简单实现一个webscoket长链接
php webscokt_用php基于swoole实现websocket通讯的聊天室
weixin_39522927的博客
12-21 179
前言大多人都习惯用PHP做WEB编程,很少有人用php实现websocket通讯,因为在PHP中,从socket的连接、建立、绑定、监听等都需要开发者自己去操作完成,对于初学者来说,难度方面也挺大的,因此我们用Easyswoole这个框架来实现聊天室的建立。1、socket协议的简介2、介绍client与server之间的连接原理3、PHP中建立socket的过程讲解4、用一个聊天室作为实例详细讲...
WebSockt面试题
weixin_43337246的博客
09-12 1039
什么时websocket? websocket是html5的一种新协议,允许服务器向客户进行消息推送,实现浏览器和客户端双工通信 websocket特点: (1)与http协议具有良好的兼容性 (2)建立在TCP协议之上 (3) 数据格式比较轻量,和http协议同属于应用层 (4)可以发送文本,也可以发送二进制 (5)没有同源限制,可以与任意服务器通信 3.httpwebsocket的区别 http协议是短链接,因为请求之后,都会关闭连接,下次请求需要重新打开链接。websocket协议是一..
浏览器同源策略
feifeilb的博客
03-17 882
同源策略是什么 参考资料 浏览器同源政策及其规避方法 wiki Same-origin policy W3C Same Origin Policy mozilla 浏览器同源策略 简而言之 同源是指协议相同、域名相同、端口相同 同源策略一般允许发送数据,而禁止读取数据 同源策略会影响DOM读取,Cookie、LocalStorage和IndexDB读取,AJAX请求 规避同源策略的方式 跨文...
什么是同源策略
热门推荐
qq_44818085的博客
10-27 1万+
1.同源策略是什么? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能 如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是一个安全策略。所有支持JavaScript浏览器都会使用这个策略 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。 2.为什么要同源限制? 同源策略存在的意义: 非同源下的 cookie 等隐私数据可以被随意获取 非同源下的 DOM 可以的随意操作 ajax 可以任意请求的话,用
什么是浏览器同源策略?
别动我u盘-的博客
10-09 3535
有时在开发中我们会遇到跨域的问题,众所周知,跨域是由浏览器同源策略引起的,那么什么是浏览器同源策略呢? 同源策略,是浏览器javascript施加的安全限制。所谓同源是指,域名,协议,端口均相同。 比如: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域http://www.123....
前后端怎么解决跨域问题
05-14
跨域问题是由于浏览器同源策略(Same-Origin Policy)引起的。同源策略要求AJAX请求的域名、端口、协议必须和当前页面完全一致,否则会被浏览器禁止访问。而跨域请求则需要从一个域名向另一个域名发起请求,因此需要采取一些措施来解决跨域问题。 一般来说,前后端采用以下几种方式解决跨域问题: 1. JSONP:利用script标签的src属性可以跨域访问的特性,前端通过动态创建script标签来请求后端的数据。后端返回一段JavaScript代码并执行,将数据作为参数传递给前端函数,从而实现跨域请求。 2. CORS(跨域资源共享):在后端设置Access-Control-Allow-Origin响应头,允许指定的域名访问资源。前端发送跨域请求时,浏览器会自动在请求头中添加Origin字段,后端在响应头中添加Access-Control-Allow-Origin字段,从而实现跨域请求。 3. 代理服务器:前端请求的接口发送到自己的服务器,自己的服务器再把请求发送给后端,后端返回数据后再返回给前端。这种方式需要自己搭建代理服务器,并且会增加服务器的负担。 4. WebSocket:WebSocket是一种基于TCP协议的全双工通信协议,在建立连接时不存在跨域限制。前后端可以通过WebSocket建立连接,进行跨域通信。 以上是一些常见的解决跨域问题的方式,具体选择哪种方式要根据具体情况来定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值