为什么浏览器需要做跨域限制

最新推荐文章于 2024-05-25 11:45:00 发布
最新推荐文章于 2024-05-25 11:45:00 发布
阅读量611 收藏 2
点赞数
文章标签: css html5 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43482345/article/details/110818876
版权

为什么浏览器需要做跨域限制

防止CSRF攻击,比如说有两个网站 A和B。
你是A网站的管理员,你在A网站有一个权限是删除用户,比如说这个过程只需用你的身份登陆并且POST数据到 http://a.com/delUser,就可以实现删除操作。
好现在说B网站,B网站被攻击了,别人种下了恶意代码,你点开的时候就会模拟跨域请求,如果是针对你,那么就可以模拟对A站的跨域请求,恰好这个时候你已经在A站登陆了。那么攻击者在B站内通过脚本,模拟一个用户删除操作是很简单的。
面对这种问题,有从浏览器解决,但个人认为最好是从网站端解决,检测每次POST过来数据时热refer,添加accesstoken等都是好方法。

就是攻击者冒用用户的名义,向目标站点发送请求
防范方法:

  1. 在客户端进行cookie的hashing,并在服务端进行hash认证
  2. 提交请求是需要填写验证码
  3. 使用One-Time Tokens为不同的表单创建不同的伪随机值

跨站脚本攻击(XSS)最早迫使浏览器采用不信任互联网应用这个设计思想的攻击方式,就是跨站点脚本攻击。在这种攻击中,一个恶意的人员刀疤哥会向普通用户爱丽丝 发送一封电子邮件,邮件里有一个指向刀疤哥的网站的链接。爱丽丝毫无防备心地点击链接,让浏览器加载网页刀疤网,浏览器允许 JavaScript 程序默认在任何网页上运行,因此刀疤网上会有一个 JS 程序在爱丽丝的设备上运行,访问爱丽丝设备上她能访问的一些数据,然后秘密发送数据到刀疤哥的服务器上。程序可以通过各种方式访问 ​

最低0.47元/天 解锁文章
javaScript~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么浏览器限制跨域访问?
evilcry2012的专栏
07-21 1446
为什么浏览器限制跨域访问? 能举例说明吗? 添加评论 分享 赞同1 反对,不会显示你的姓名 冉坤,程序员,小轮车手,逗逼 慢半拍 赞同 防止CSRF攻击,比如说有两个网站 A和B。 你是A网站的管理员,你在A网站有一个权限是删除用户,比如说这个过程只需用你的身份登陆并且POST数据到http://a.co
为什么浏览器要阻止跨域
weixin_42790553的博客
07-28 1609
1、如果跨域可以请求的话,很多的服务器都会受到额外的攻击; 2、黑客可以在别人的网站代码里面去恶意的攻击其他公司的服务器; 3、因为浏览器是客户端,客户端的群体太大,而服务器是可以随便哪里都可以访问的,没有限制。...
什么是跨域?为什么会产生跨域?怎么解决跨域
最新发布
z13903931414的博客
05-25 706
跨域,即跨域资源共享(CORS,Cross-Origin Resource Sharing),是一个W3C标准,它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。简单来说,跨域就是浏览器的同源策略导致来自不同源的脚本在没有明确授权的情况下,不能读写对方的资源。同源策略是浏览器的一个安全功能,它限制了一个源(origin)的文档或脚本与另一个源的资源进行交互。:在服务器端设置代理服务器,客户端所有的请求都先发到代理服务器上,然后由代理服务器去请求真正的资源,最后把请求结果返回给客户端。
什么是跨域,以及为什么浏览器跨域限制
GeekArtT的专栏
02-10 1509
为什么大家解释“跨域限制”这个事情都这么费劲?!动不动就给出一堆学术名词,神马“同源策略”“限制加载”blabla… 一上来就用高度抽象的词语来解释,初学者可能只会说一句:请说人话。 “跨域”是在browser限制,按照 client-server 的模型,就是在client端了些限制。如果我们先不考虑跨域,那么,假设在页面上对某个按钮的点击,涉及到需要请求第三方(third-party)网...
跨域产生的原因是什么?浏览器为什么要阻止跨域
Coder_Xy的博客
05-12 989
a. 在进行跨站资源访问时,协议、端口、域名出现不一致的情况时,产生CORS跨域; b. 阻止跨域是由于浏览器受到同源策略的影响,当两个URL资源协议、域名、端口不一致时,浏览器认为目标API的安全性无法保证,可能会对当前网站造成安全威胁,因此在对方服务器没有明确设置Access-Control-Allow-Origin的情况下,浏览器是不会接收服务器的响应的。 ...
前端面试题:浏览器为什么要阻止跨域请求?如何解决跨域?每次跨域请求都需要到达服务端吗?
qq_46582421的博客
02-09 1691
浏览器阻止跨域请求的原因是同源策略","同源策略"主要解决的问题是浏览器的安全问题,同源是协议、域名、端口都相同,非同源是只要协议、域名、端口有一个不同就会造成非同源。如下: 如上两地址由于端口不同就造成跨域问题。非同源会造成∶1.无法获取cookie、localstroage、indexedDB。 2.无法访问网页中dom。3无法发送网络请求。所以浏览器阻止跨域的原因是基于网络安全考虑。 解决跨域方式有很多种例如: 1.jsonp跨域。2.postMessage解决跨域。 3.跨域资源共享(COR.
什么是跨域,为什么浏览器会禁止跨域,以及实现跨域的几种方式
weixin_30536513的博客
05-03 1374
首先我们来想一想 为什么会有跨域这个名词的出现呢? 跨域又是什么呢?为何要跨域? 浏览器的同源策略又是什么?怎么解决? jsonp又是什么? 跨域的原理又是什么呢? 名词解释: 1、什么是跨域跨域的产生来源于现代浏览器所通用的‘同源策略’,...
C#浏览器提示跨域问题解决方案
08-18
那么,为什么浏览器会提示跨域问题呢?这是因为浏览器在发送请求时,会检查服务器返回的头部信息,如果头部信息中没有“Access-Control-Allow-Origin”头部,浏览器就会提示跨域问题。 在解决跨域问题时,我们需要...
浏览器跨域说明
04-07
浏览器跨域是一个重要的Web开发概念,它涉及到网页中JavaScript如何访问和操作来自不同源的资源。在HTML、JavaScript、Ajax和CORS等技术的背景下,跨域限制浏览器实施的一种安全策略,旨在防止恶意脚本从一个网站...
chrome 浏览器跨域插件下载
04-07
"chrome 浏览器跨域插件下载"这个主题正是针对这一问题,提供了能够帮助开发者解决跨域问题的工具。 Moesif Origin .crx 是一个Chrome浏览器的扩展插件,它主要用于调试和分析API请求,尤其是处理跨域问题时非常...
完美解决浏览器跨域的几种方法(汇总)
08-30
浏览器跨域问题的出现是因为浏览器收到同源策略的限制,当前域名的js只能读取同域下的窗口属性。同源策略:不同域名、不同端口、不同协议不允许共享资源的,保障浏览器安全。同源策略是针对浏览器设置的门槛。如果绕...
chorm浏览器跨域插件
11-15
由于Web 端的远程加载受到浏览器的 CORS 跨域策略限制,如果对方服务器禁止跨域访问,那么会加载失败,而且在 WebGL 渲染模式下,即便对方服务器允许 http 请求成功之后也无法渲染,这是 WebGL 的安全策略的限制 ...
浏览器为什么要阻止跨域请求 如何解决跨域 每次跨域需要到达服务端吗
SSS01233210的博客
01-03 846
1. 浏览器阻止跨域的原因是“同源策略”,“同源策略”主要解决浏览器安全问题。 1.1 同源策略:协议、域名、端口号必须相同,有一者不同都会造成非同源 1.1.1 非同源的影响 1. 无法获取cookie、localStorage、sessionStorag、indexedDB 2. 无法访问网页中的dom 3. 无法发送网络中的请求 2. 解决跨域 1. jsonp跨域 2. postMessage跨域 3. 跨域资源共享(CORS) 4. nginx反向代理
浅谈为什么要限制跨域以及如何实现跨域
ZKH129的博客
06-11 1335
跨域的几种方法
浏览器为什么会引入跨域问题&解决方案
fenqing666的博客
05-28 1200
为什么浏览器要引入跨域问题? 跨域问题来源于浏览器的同源策略,为什么要有这个策略,想必你已经知道,那就是因为保证用户的信息安全。 假设现在有a.com和b.com两个域,如果没有这一安全策略,那么当用户在访问a.com时,a.com的一段脚本就可以在不加载b.com的页面而随意修改或者获取b.com上面的内容。这样将会导致b.com页面的页面发生混乱,甚至信息被获取,...
说说跨域
baidulixueqin的博客
05-22 200
目录 1.什么是同源 2.什么是跨域 3.CORS 跨域 4.JSONP 跨域 什么是同源? 首先什么是源?源=协议+域名+端口号。 如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。 我们可以通过window.origin或location.origin得到当前源。 https://wang.com https://ergou.com //不同源,域名不一致(记住:只有完全一模一样才算同源) http://wang.com/index.html http://wang.com/.
跨域判定(跨域限制浏览器行为,不是服务器行为)
缓月
03-21 5860
跨域限制浏览器行为,不是服务器行为。
浏览器跨域详解
热门推荐
GuoZebin的博客
11-04 1万+
一.什么是跨域 跨域问题来源于浏览器的同源策略,浏览器为了提高网站的安全性,在发送ajax请求时,只有在当前页面地址与请求地址的协议+域名+端口号相同时才允许访问,否则会被拦截。 协议即通信协议,比如我们现在常见的http和https,如果当前页面地址使用http协议,请求的地址使用https协议,那么这个请求就存在跨域问题。 域名即网站网址,如baidu.com,360.com存在跨域。 ...
跨域是什么?为什么需要配置跨域
04-19
跨域是指在浏览器中,当一个网页的脚本试图访问不同源(域、协议或端口)的资源时,就会发生跨域请求。...总结一下,配置跨域是为了解决浏览器的同源策略限制,使得不同源的网页能够安全地进行数据交互和资源共享。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值