同源策略与ajax跨域

最新推荐文章于 2022-03-20 19:49:42 发布
最新推荐文章于 2022-03-20 19:49:42 发布
阅读量177 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44567078/article/details/95042290
版权

 

首先要从头来讲。浏览器本身存在同源策略。协议,域名,端口相同,视为同一个域,一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略。同源策略保证了资源的隔离。一个网站的脚本只能访问自己的资源,就像操作系统里进程不能访问另一个进程的资源一样,如果没有同源策略,你在网站浏览,跳转其他网页,然后这个网页就可以跨域读取你网站中的信息,这样整个Web世界就无隐私可言了。这就是同源策略的重要性,它限制了这些行为。当然,在同一个域内,客户端脚本可以任意读写同源内的资源,前提是这个资源本身是可读可写的。通俗的讲,浏览器有一个很重要的安全机制,即为同源策略:不用域的客户端脚本在无明确授权的情况下不能读取对方资源,跨域也就是不同源回答了浏览器的同源策略,再回答一下跨域。只要协议,域名,端口有一个不同,就是跨域,ajax请求一个目标地址为非本域(协议,域名,端口任意一个不同)的web资源,就是跨域。

1. 什么是同源?
2. 为什么要有同源策略?

同源:相同协议,相同域名,相同端口称为同源

同源策略:在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。

源决定规则

源就是{协议,主机,端口}定义的。只有这些值完全一样才认为两个资源是同源的。

为了举例,下面的表格给出了与URL"http://yinhang.com/zhanghu/zhanghu.html"的对比。

URI

结果

原因

http://yinhang.com/zhanghu2/zhanghu.html

成功

只有路径不同

http://yinhang.com/zhanghu/ZH/zhanghu.html

成功

只有路径不同

https://yinhang.com/zhanghu/zhanghu.html

失败

不同协议 ( https和http )

http://yinhang.com:81/zhanghu/zhanghu.html

失败

不同端口 ( http:// 80是默认的)

http://yinghang.com/zhanghu/zhanghu.html

失败

不同域名 ( yinhangyinghang)

没有同源策略限制的Dom查询

1.有一天你刚睡醒,收到一封邮件,说是你的银行账号有风险,赶紧点www.yinghang.com改密码。你吓尿了,赶紧点进去,还是熟悉的银行登录界面,你果断输入你的账号密码,登录进去看看钱有没有少了。
2.睡眼朦胧的你没看清楚,平时访问的银行网站是www.yinhang.com,而现在访问的是www.yinghang.com,这个钓鱼网站做了什么呢?

// HTML <iframe name="yinhang" src="www.yinhang.com"></iframe> 

// JS // 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom 

const iframe = window.frames['yinghang'] const node = iframe.document.getElementById('你输入账号密码的Input')

console.log(`拿到了这个${node},我还拿不到你刚刚输入的账号密码吗`)

如果没有 DOM 同源策略,也就是说不同域的 iframe 之间可以相互访问,那么黑客可以这样进行攻击:

做一个假网站,里面用 iframe 嵌套一个银行网站 “www.yinghang.com”。

把 iframe 宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没 有任何差别。

这时如果用户输入账号密码,我们的主网站可以跨域访问到 www.yinghang.com的 dom 节点,就可以拿到用户的账户密码了。

由此我们知道,同源策略确实能规避一些危险,不是说有了同源策略就安全,只是说同源策略是一种浏览器最基本的安全机制,毕竟能提高一点攻击的成本。其实没有刺不穿的盾,只是攻击的成本和攻击成功后获得的利益成不成正比。

AJAX通过CORS跨域:

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而解决了AJAX不能跨域请求的问题。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。CORS允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

 

Aenm
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析同源策略跨域访问
11-22
4. iframe与postMessage:尽管iframe加载的内容受限于同源策略,但使用`window.postMessage`方法可以在不同源的iframe之间传递消息,实现一定程度的跨域通信。 5. 代理服务器:通过在服务器端设置代理,将跨域请求...
AJAX ------ 同源策略
HuoZhiyan 的博客
02-24 878
同源策略:协议、域名、端口号必须完全相同。违背同源策略就是跨域。 注意:端口号为 9000 创建 index.html 文件 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" con.
ajax同源策略,AJAX同源策略/ CORS跨域
weixin_36286774的博客
08-06 192
什么是AJAX面试题:请使用原生js来发送AJAX请求let request = new XMLHttpRequest()request.open('get', '/xxx') // 配置requestrequest.send()request.onreadystatechange = ()=>{if(request.readyState === 4){if(request.status &...
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8138
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
什么是同源策略,所带来的影响
xiaoHelloWord的博客
07-03 988
所谓的同源策略就是,同域名,同端口,同协议 那么所带来的影响: 它影响了与BOM,DOM间的交互.如:不可以访问不同来源的任何页面的document对象,也就是说不能访问其中任何DOM结构 ...
浏览器的同源策略(web前端黑客技术揭秘总结)
weixin_45418565的博客
05-06 198
浏览器的同源策略 概念:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源 1.同域不同域: 同协议,同域名,同端口相同才同域 通常说的同域就是同源 2.客户端脚本 客户端脚本主要指javascript和actionscript(flash的脚本语言)以及二者都遵循的ECMAScript脚本标准。Flash提供通信接口,使得两个脚本语言可以方便的通信。客户端的攻击以javascript最...
探秘ajax跨域请求
01-19
虽然ajax很好,但在使用起来也会有一定的限制,出于安全考虑,不允许跨域通信。如果尝试从不同的域请求数据,会出现安全错误。(下面例子1可以直观看出) 同源策略限制 同源策略阻止从一个域上加载的脚本获取或操作...
原生JS实现ajaxajax跨域请求实例
11-27
3. **jQuery的AJAX跨域**:jQuery的`$.ajax()`或`$.getJSON()`方法提供了JSONP的支持。只需要设置`dataType`为"jsonp",jQuery会自动处理回调函数的生成和调用。 ```javascript $.ajax({ url: 'your-url', ...
JavaScript同源策略跨域访问实例详解
10-18
对于像Ajax这样的异步请求,同源策略会成为阻碍。在JavaScript中,XMLHttpRequest对象默认遵循同源策略,这意味着它只能向同源服务器发送请求。 为了解决这个问题,出现了多种跨域解决方案。其中,JSONP(JSON with...
同源策略与JS跨域请求(图文实例详解)
热门推荐
shuai_wy的专栏
04-19 1万+
同源策略与JS跨域跨域详解 Jquery Ajax 调用 Web API方法,Jquery ajax 请求.Net C# MVC. 本文介绍了同源策略,以及JS跨域问题出现的原因及原理。 本文以AJAX ,ASP.NET MVC 为例,详细的介绍了跨域请求的三种解决方案,分别为 JSONP ,CORS,代理层解决方案
浅谈ajax同源策略
weixin_30690833的博客
05-17 101
一.B/S和C/S 什么是B/S和C/S B/s : browser / server C/s: client /server 二.HTTP协议 请求和响应 请求协议: ​浏览器向服务器发送请求的时候使用的协议 请求行 ​访问的路径,主机,协议版本 请求头 ​浏览器的一些信息 请求体 ​...
Ajax-同源策略跨域问题)
xpmhhh的博客
03-20 1992
同源策略:是浏览器的一种安全策略。 同源:协议,域名,端口号必须完全相同。 当前网页资源的url与ajax请求的服务器目标资源的url必须三者保持一致,才满足同源策略ajax默认是遵循同源策略的,不遵循是不能直接发送ajax请求的。 违背同源策略就是跨域。 有时候需要多个服务器提供服务,就需要解决跨域问题。 如何解决跨域? 方案一:JSONP(只支持get请求)原生跨域解决方案 全称JSON with padding,一个非官方的跨域解决方案。 原理:网页中有些标签本身就具备跨域能力,
ant-design-vue-1.1.10-beta.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
最新发布
08-26
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
校园二手交易平台小程序源码 (优秀毕业设计源码)
08-26
1. 校园二手交易平台小程序代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
ant-design-vue-3.1.0.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频)
08-26
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频) 计步器功能的实验测试: 采用USB电源线连接移动电源给系统进行供电。首先打开电源开关,系统初始化后,将开始进行计步。在液晶显示屏上输入用户的身高体重,然后佩戴计步器步行,开始测试行走步数、速度以及消耗卡路里。计步器实物图及介绍如下, 按键从左到右依次是: ⑴设置键:按下按键进入设置身高体重页面; ⑵加值键:设置时,按下该按键对应参数+1 ; ⑶ 减值键:设置时,按下该按键对应参数-1 ; ⑷ 复位键:按下该按键单片机复位。 实际测试效果如下: (1)实物联电后打开开关的初始状态如图5-3所示。“V”代表当前瞬时速度,“B”代表当前行走步数,代表当前行走里程,代表当前行走所消耗的卡路里。 (2)按下按键1设置键设置身高170cm ,再按下按键1设置体重48kg ,设置好后再按一下退出。 ⑶ 检测运动后的实验图如图5-6所示,传感器采集到的运动加速度,显示步数为,总里程为,瞬时速度为,消耗的卡路里为。瞬时速度在停下运动后,逐渐降为0。其他示数不变。 ⑷ 按下右侧复位键后的实验图如图5-7所示,行走步
ant-design-vue-0.5.4.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ssm530便民自行车管理系统的开发与实现+vue.zip
08-26
本系统为便民自行车管理系统,是采用计算机和网络技术进行开发的在线租用平台,可以实现自行车的查询、租用、归还管理等。本系统采用Java语言,数据库为Mysql,运行环境为Idea。使用角色分为用户、管理员,本系统的功能包括车辆管理、订单管理、车辆损耗管理、车辆类型管理和用户管理等。其中,用户负责浏览信息、租用自行车、管理租用订单,管理员可以审核用户信息、管理自行车信息、车辆损耗信息等。本系统实现了自行车的在线出租与管理,方便了用户和管理员双方的利益,提高自行车租用的效率,更符合现代人生活。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值