什么是JS跨域、以及CORS解决方案

最新推荐文章于 2023-01-03 14:38:09 发布
最新推荐文章于 2023-01-03 14:38:09 发布
阅读量1.6k 收藏 7
点赞数 3
分类专栏: JS CORS 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42107430/article/details/104506038
版权
JS 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
CORS
1 篇文章 0 订阅
订阅专栏

一、什么是JS跨域

1、跨域:在了解跨域之前,首先要知道什么是同源策略(same-origin policy)。简单来讲同源策略就是浏览器为了保证用户信息的安全,防止恶意的网站窃取数据,禁止不同域之间的JS进行交互。对于浏览器而言只要域名、协议、端口其中一个不同就会引发同源策略,从而限制他们之间如下的交互行为:
 

2、JS跨域:指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据。

那什么是不同的域呢?只要协议域名端口有任何一个不同,都被当作是不同的域。

举例:

域名说明是否允许访问
http://www.example.com协议不同不允许访问
https://www.example.com
http://www.example.com:8080端口不同不允许访问
http://www.example.com:3306
http://www.example.com域名不同不允许访问
http://www.baidu.com
http://www.example.com/a.js相同域下同一文件夹允许访问
http://www.example.com/b.js
http://www.example.com/a.js相同域下不同文件夹允许访问
http://www.example.com/js/a.js

注意

        1、ip相同,域名不同,也是跨域。 

        2、如果是协议和端口造成的跨域问题“前台”是无能为力的。

3、为什么要限制跨域访问:安全问题。

如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题:

1.用户访问www.mybank.com,登陆并进行网银操作,这时cookie啥的都生成并存放在浏览器;

2.用户突然想起件事,并迷迷糊糊的访问了一个邪恶的网站www.xiee.com;

3.这时该网站就可以在它的页面中,拿到银行的cookie,比如用户名,登陆token等,然后发起对www.mybank.com的操作;

4.如果这时浏览器不予限制,并且银行也没有做响应的安全处理的话,那么用户的信息有可能就这么泄露了。


4、为什么要跨域

既然有安全问题,那为什么又要跨域呢? 有时公司内部有多个不同的子域,比如一个是cart.jd.com ,而应用是放在app.jd.com , 这时想从 app.jd.com去访问 cart.jd.com 的资源就属于跨域。

 

二、解决方案

使用跨域资源共享(CORS)来跨域

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

只需要在后台中加上响应头来允许域请求!在被请求的Response header中加入以下设置,就可以实现跨域访问了!


//指定允许其他域名访问

'Access-Control-Allow-Origin:*'//或指定域

//响应类型

'Access-Control-Allow-Methods:GET,POST'

//响应头设置

'Access-Control-Allow-Headers:x-requested-with,content-type'

举例:

  @RequestMapping("/add")
    public Result add(Long id, Integer num) {
        /*CORS*/
        response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        
        /* 你的逻辑代码*/
}

Spring Framework 4.2 GA为CORS提供了第一类支持,使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持@CrossOrigin。

@CrossOrigin()注解来替代上面的两行话 参考@CrossOrigin()详解
@RequestMapping("/addGoodsToCartList")
    @CrossOrigin(origins = "http://localhost:9105", allowCredentials = "true")//默认是ture
    public Result addGoodsToCartList(Long itemId, Integer num) {
        /*CORS*/
       /* response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105");
        response.setHeader("Access-Control-Allow-Credentials", "true");*/

       /*逻辑代码*/
}

 

Access-Control-Allow-Origin

Access-Control-Allow-OriginHTML5中定义的一种解决资源跨域的策略。

他是通过服务器端返回带有Access-Control-Allow-Origin标识的Response header,用来解决资源的跨域权限问题。

 使用方法:在response添加 Access-Control-Allow-Origin,例如

Access-Control-Allow-Origin:www.google.com

也可以设置为 * 表示该资源谁都可以用

前端JS代码

//添加商品到购物车

$scope.addToCart=function(){

    $http.get('http://localhost:9107/cart/addGoodsToCartList.do?itemId='

    + $scope.sku.id +'&num='+$scope.num,{'withCredentials':true}).success(

             function(response){

                 .......             

             }               

    );     

}

调用测试,可以实现跨域了。

CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。另一方面,开发者必须在AJAX请求中打开withCredentials属性。否则,即使服务器同意发送Cookie,浏览器也不会发送。或者,服务器要求设置Cookie,浏览器也不会处理。

 

 

 

 

 

文主要介绍CORS解决方案

其他解决方案请参考 js处理的8种跨域方法

 

不学到秃头不改名
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
js跨域解决方案
muzidigbig的博客
05-15 8000
指的是浏览器不能执行其他网站的脚本,简单来说是浏览器同源政策的限制,浏览器针对于的限制。两个页面拥有相同的协议,端口,域名就是同源,如果有一个不相同就是不同源。保护用户,防止一些网站盗取用户信息。 1、通过jsonp跨域 2、跨域资源共享(CORS) 3、document.domain + iframe跨域 4、location.hash + iframe 5、window.name + iframe跨域 6、postMessage跨域 7、nginx代理跨域 8、nodejs中间件代理跨域(非vue、v
js中几种实用的跨域方法原理详解
萌萌的It人 www.itmmd.com
07-15 2420
这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有任何一个不同,都被当作是不同的域。 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一、通过jsonp
什么是js跨域,如何解决
白衣若尘的博客
11-26 697
js跨域释义: js跨域是指通过js在不同的域之间进行数据传输或通信,如:从www.baidu.com 页面去请求 www.google.com的资源。 域:协议、域名、端口都一致。需要跨域。 原因: 由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 跨域的2中情况: 1、通常的get类型请求; 2、put、post、de
JS中的跨域问题
sally18的博客
08-05 1373
一,什么是跨域 1.定义:跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 所谓同源是指,域名,协议,端口均相同。这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的
js中的跨域
weixin_44746630的博客
06-21 224
1.js跨域:指js在不同域之间进行数据的传输与通信 用ajax向一个不同的域请求数据,只要协议、域名、端口有任何一个不同,都被当作是不同的域。 2.在js中,我们直接用XMLHttpRequest请求不同域上的数据时,拿不到数据 解决方案 1.jonsp跨域 原理:通过script标签引入一个js文件,这个js文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的json数据作为...
关于js跨域Access-Control-Allow-Origin问题
willie_chen的专栏
02-22 927
最近弄web项目,做服务后端,客服端是android,请求到后端服务,这样会涉及到跨域问题。网上的解决方案比较多。 我看网上比较常用的就是jsonp、cors 此次我们使用的是cors,下面给大家讲解一下cors是如何使用的。 我们项目是maven工程,首先我们在pom.xml文件中添加了如下配置:    com.thetransactioncompany    cors-filte
JavaScript跨域详解
wfly blog
09-29 317
一、什么是跨域? 同源策略:浏览器为了保证用户信息的安全,防止恶意的网站窃取数据,禁止不同域之间的JS进行交互(限制一个资源地址加载的文档或脚本与来自另一个资源地址的资源进行交互)。对于浏览器而言只要域名、协议、端口其中一个不同就会引发同源策略,从而限制他们之间如下的交互行为: 1.Cookie、LocalStorage和IndexDB无法读取; 2.DOM无法获得; 3.AJAX请求不能发送...
Ajax跨域问题及解决方案jsonp,cors
01-19
解决方案: 1.jsonp  在远程服务器上设法动态的把数据装进js格式的文本代码段中,供客户端调用和进一步处理;在前台通过动态添加script标签及src属性,表面看上去与ajax极为相似,但是,这和ajax并没有任何关系;...
WebApi 跨域问题解决方案CORS
07-23
同源策略:出于安全考虑,浏览器会限制脚本中发起的跨站请求,浏览器要求JavaScript或Cookie只能访问同域下的内容。 正是由于这个原因,我们不同项目之间的调用就会被浏览器阻止。比如我们最常见的场景:WebApi作为...
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1240
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
JS 跨域
shea_mong
03-08 365
JavaScript跨域一、什么是JS跨域?二、JS跨域解决办法1.JSONP2.CORS3、JSONP和CORS的区别 一、什么是JS跨域? 在了解跨域之前,先要知道同源策略。 同源策略:是浏览器的一种安全策略,所谓同源是指域名、协议、端口完全相同。在同源策略下,只有同源的地址才可以相互通过 AJAX 的方式请求。而跨域就是只要两个地址中协议、域名、端口有任何一个不相同,那它们之间的请求就被称之为跨域请求。 JS跨域:指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者
JavaScript CORS实现跨域
寒岁青松的专栏
03-31 1152
JavaScript中,通过ajax向后台发送请求,其受限于同源策略。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问和操作另外一个域的绝大部分属性和方法。同源即意味着两个域具有相同的协议(如http), 相同的端口(如8080),相同的host(如www.baidu.com)。 CORS(Cross-Origin Resource Sharing, 跨域资源共享)是一种很好的解决js
JS跨域请求解决方案-CORS
weixin_43912805的博客
02-28 995
文章目录JS跨域请求解决方案-CORSJS跨域请求 JS跨域请求解决方案-CORS JS跨域请求 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有任何一个不同,都被当作是不同的域。 ...
【node.js跨域的解决办法(CORS方法、同源策列的理解)
嗨,朋友你好!我是前端领域的工作者
01-03 4456
【node.js】面对cors解决跨域问题、同源策略的概念。
Node.js使用CORS解决跨域问题
weixin_73368873的博客
10-22 3048
本文简单说明CROS解决跨域的理论,并用Node.js解决跨域问题的代码
JavaScript跨域(1):什么是跨域,如何跨域
function的专栏
05-19 548
无数次看到:Origin null is not allowed by Access-Control-Allow-Origin , 网络没有让你绝望,但是或许会让你蛋疼,因为你找了半天没看到一个比较实用的解决方案,亦或者水平不够,别人写的东西累赘没看懂,抑或是。。。   网上看到了一篇文章——跨域资源共享的10中方式,已经放在自己的家里了O(∩_∩)O~   跨域也是平时项目中比较让人
什么是JS跨域访问?
yihuliunian的博客
06-26 255
转载自品略图书馆http://www.pinlue.com/article/2018/03/1416/525772452151.html >什么是跨域? A网站想要获取B网站服务器上的资源,网站通过AJAX发送请求的时候,本地服务器地址与请求地址、协议类型(http)、IP地址(域名)、端口,三者有其一不同都称之为跨域请求资源。 >为什么要有跨域限制? 通过上面的解释不难发现,跨域限制主要是出于对用户安全的考虑。 因为每一次的HTTP请求,都会附带该请求地址对应的cook...
深入剖析jsonp跨域原理
weixin_33962923的博客
12-17 320
在项目中遇到一个jsonp跨域的问题,于是仔细的研究了一番jsonp跨域的原理。搞明白了一些以前不是很懂的地方,比如: 1)jsonp跨域只能是get请求,而不能是post请求; 2)jsonp跨域的原理到底是什么; 3)除了jsonp跨域之外还有那些方法绕过“同源策略”,实现跨域访问; 4)jsonp和ajax,或者说jsonp和XMLHttpRequest是什么关系; 等等。 1....
什么是跨域,怎么解决跨域问题
最新发布
07-24
跨域(Cross-Origin)指的是在浏览器中,当一个网页的 JavaScript 代码尝试访问不同源(即不同域名、端口或协议)的资源时,就会触发跨域问题。浏览器为了保护用户的安全,限制了跨域资源的访问。 跨域问题可以通过以下几种方式进行解决: 1. JSONP(JSON with Padding):JSONP 是一种利用 `<script>` 标签可以跨域加载资源的特性来实现跨域请求的方法。服务器端返回的数据需要包裹在一个函数调用中,前端通过动态创建 `<script>` 标签来获取数据。但是 JSONP 只支持 GET 请求,并且存在安全性问题,容易受到 XSS 攻击。 2. CORS(Cross-Origin Resource Sharing):CORS 是一种现代浏览器支持的跨域解决方案。它通过在服务器端设置响应头来控制是否允许跨域请求。具体来说,服务器需要在响应头中设置 `Access-Control-Allow-Origin` 字段来指定允许的源(域名、端口或通配符 *),以及其他相关的 CORS 相关字段。通过这种方式,浏览器会根据响应头的配置判断是否允许跨域请求。 3. 代理服务器:可以通过在服务器端设置代理服务器来解决跨域问题。前端代码发送请求给同源的服务器,然后由服务器端代理转发请求到目标服务器,并将响应结果返回给前端。这种方式需要在服务器端进行配置,并且会增加服务器的负载。 4. WebSocket:WebSocket 是一种全双工通信协议,它可以在浏览器和服务器之间建立持久连接。由于 WebSocket 协议并不受同源策略的限制,因此可以用于跨域通信。 5. postMessage:postMessage 是一种在不同窗口或 iframe 之间进行跨域通信的方法。通过调用 `window.postMessage` 方法,可以在不同窗口之间传递消息。 需要注意的是,以上解决方案的可行性和适用性取决于具体的情况和需求。在使用时需要根据实际情况选择合适的解决方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值