【http】跨域解决方案

最新推荐文章于 2024-03-10 15:41:33 发布
最新推荐文章于 2024-03-10 15:41:33 发布
阅读量381 收藏
点赞数
分类专栏: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44199674/article/details/106784866
版权

同源策略

  • 「同源策略」是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
  • url 的组成部分
    在这里插入图片描述
    -「protocol(协议)、domain(域名)、port(端口)三者一致。」
  • 在默认情况下 http 可以省略端口 80, https 省略 443。
跨域资源共享(CORS)
  • 当一个资源从与该资源本身所在的服务器「不同的域、协议或端口」请求一个资源时,资源会发起一个「跨域 HTTP 请求」。
简单请求
  • 不会触发 CORS 预检请求。
  • 使用以下方法:
    GET
    HEAD
    POST
  • *人为设置以下集合外的请求头
  • *Content-Type的值仅限于下列三者之一
  • 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
    请求中没有使用 ReadableStream 对象。
非简单请求

除了上面情况外的

  • 加入了一个非集合内的 headers 头 cc 来达到非简单请求的目的。
解决方案
  • require 第三方中间件(koa-cors)
Node 正向代理
思路

利用服务端请求不会跨域的特性,让接口和当前站点同域

cli 工具中的代理
    1. Webpack (4.x)
      在webpack中可以配置proxy来快速获得接口代理的能力。
  • 一个搜索的技巧,上面配置写哪里都不用记的,想要哪个框架的 直接 google 搜索 xxx proxy 就行了
Nginx 反向代理
JSONP
Websocket
  • WebSocket 规范定义了一种 API,可在网络浏览器和服务器之间建立“套接字”连接。简单地说:客户端和服务器之间存在持久的连接,而且双方都可以随时开始发送数据。详细教程可以看 https://www.html5rocks.com/zh/tutorials/websockets/basics/
    这种方式本质没有使用了 HTTP 的响应头, 因此也没有跨域的限制
window.postMessage
document.domain + Iframe
window.location.hash + Iframe
window.name + Iframe
浏览器开启跨域

为什么需要跨域?

1.限制不同源的请求

这里还是用最常用的方式来讲解,例如用户登录 a 网站,同时新开 tab 打开了 b 网站,如果不限制同源, b 可以像 a 网站发起任何请求,会让不法分子有机可趁。

2.限制 dom 操作

可以在 http 返回头 添加X-Frame-Options: SAMEORIGIN 防止被别人添加至 iframe。

致谢

作者:蓝色的秋风
链接:https://juejin.im/post/5e948bbbf265da47f2561705
来源:掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

Shizukuu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Geoserver问题解决方案
12-06
本篇文章将详细介绍如何解决Geoserver的问题。 首先,我们需要理解问题的背景。根据同源策略,浏览器只允许与同一源(协议+名+端口)的请求进行通信。但在实际应用中,比如一个网站前端和Geoserver不在同...
PB使用http协议、https协议(简单便捷)
热门推荐
softvery的专栏
02-17 1万+
PB使用HTTP协议、HTTPS协议 PB自身也有http组件,但使用起来较为繁琐。VDN作者将http功能通过API的形式封装为HttpClient组件,PB直接调用即可,支持httphttps协议,客户端组件免费供PB开发者使用。也可通过VDN快速搭建自己的Http服务器。 QQ技术交流群: 130377874 获取最新版本VDN组件 一、导入组件 1.1、首先...
【Vue】通过axios实现与asp.net后台数据get/post传递(图文+代码示例)
【敦厚的曹操】的专栏
05-07 2352
注意前提:需要在同一个C#项目(asp.net)中,否则会出现问题。 Home.html代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=
HTTP问题的解决方案
Star_CSU的博客
05-30 6430
本文着重讲怎么处理和分析遇到的问题,对于浏览器同源策略和资源共享只做简要描述。有一定同源策略和知识的程序员可以直接看第三章问题处理方法. 目录: 一、问题的来源 二、请求 三、请求处理方法 一、问题的来源 问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到问题的. 问题的源头在于浏览器的同源策略,所谓同源策略...
http解决的几种方法(代码实测)
码农小默
06-01 6885
一、概念 1.什么是是浏览器安全机制,其实就是说你请求访问的名与ajax请求地址不一致,浏览器会直接无法返回请求结果。 二、的例子展示 1.项目demotesta 1.1.目录结构 1.2.pom.xml <dependency> <groupId>javax.servlet</groupId> <artifa...
Vue项目中问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
解决方案
11-05
解决方案是指一个下的脚本请求另一个下的资源。由于浏览器的同源策略限制,会导致请求无法发送。同源策略是指“协议+名+端口”三者相同,如果两个不同的名指向同一个 IP 地址也不行,也...
PHP Ajax问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现。 例如:客户端的名是client.runoob.com,而请求的名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
解决方案Jsonp原理解析
10-15
# 解决方案:Jsonp原理解析 在Web开发中,浏览器的安全策略——同源策略(Same-Origin Policy)限制了JavaScript从不同源获取数据的能力。这意味着,如果一个网页的脚本试图访问另一个不同源的资源,浏览器会...
Http解决方案
summer_fish的专栏
01-25 447
HTTP 资源共享 资源共享(CORS, Cross-Origin Resource Sharing) 是浏览器的机制,让浏览器可以合理避开浏览器同源策略的限制,以访问不同源上的资源。 算作“” 当协议、子名、主名、端口号中任意一个不相同时,都算作不同,不同之间相互请求资源,就算作“”。 因为JavaScript出于安全考虑,有同源策略。 有一点必须要注意:并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策
Http和处理方案
2th
10-17 523
问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、名和端口的资源。如果一个请求的目标资源的协议、名或端口与当前页面的不同,就会触发请求。问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
HTTP----解决方式
最新发布
m0_58794378的博客
03-10 2283
在说之前,需要先了解一下什么是同源策略,就是因为浏览器这个安全策略引起的。
JavaScript中的总结
廿四桥明月夜的博客
12-13 250
什么是 ,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取DOM 和 JS 对象无法获取Ajax请求发送不出去 常见的场景 所谓的同源是指,名、协议、端口均为相同。 http://www.neal
Django部署HTTPS、解决、nginx80跳443、html跳转
weixin_44634704的博客
08-14 1882
阿里云购买的ssl证书,上传到服务器/root/project/目录下 vim /etc/nginx/nginx.conf --打开nginx配置文件 # 添加如下配置 server { listen 443 ssl; listen [::]:443 ssl; server_name _; ssl_certificate cert/domain name.pem; #将domain na
几种常见的解决方法
liusunquan123的博客
08-03 1万+
由于浏览器的同源策略,当我们请求网络资源时,所在页面的url中的协议,端口,名其中一个与请求资源的url不同,都会出现的问题。但是浏览器不能没有这个策略,这样会很危险,像csrf,xss攻击等**。那么这里有个容易理解错误的地方,并不是说服务器没法返回资源给浏览器,而是浏览器没办法正确拿到,这不是服务器的问题。**但是也不是所有的请求都是这样的,像表单提交就不存在什么问题,因为表单不需要服务器返回数据给它,它只负责提交就好了...
问题
番茄脸红了~
02-24 402
1、的由来 网站安全机制:同源策略 需要协议相同,名相同,地址端口号相同; 正是由于同源策略的限制,导致请求只能是在同一服务器下进行。 2、场景 # 第一种场景:访问的数据在同一个服务器,就可以使用ajax四步进行请求。 # 第二种场景:访问的是不同源的服务器,但接口提供的是jsonp格式,也就是请求返回的是方法调用携带的数据, ...
HTTP的原因及解决方法(CORS 和 JSONP)
ITimo的博客
07-17 151
【转载】HTTP的原因及解决方法(CORS 和 JSONP)
java http请求中解决问题
大伟爱自由的博客
08-28 3946
在java代码中为保证在java代码中发送http请求不会发生问题。需要在创建httpclient的时候做特殊的处理。 处理方式也很简单,就是创建httpClient的时候,不再创建简单的ClosableHttpClient.可以为创建httpclient创建一个单独的方法。 /** * 获取 HttpClient,解决问题 * @return HttpClient * @t
Ajax解决方案:JSONP、CORS与代理请求
JSONP是一种早期的解决方案,适用于支持GET请求的API。它是通过动态插入`<script>`标签来实现的,因为`<script>`标签不受同源策略限制。服务端提供一个可被调用的JavaScript函数,前端通过指定该函数名作为回调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值