同源和不同源的文件下载解析

已于 2024-03-20 11:33:49 修改
阅读量957 收藏 28
点赞数 31
分类专栏: 文件相关 文章标签: 文件下载
于 2024-03-20 11:30:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44741577/article/details/136867636
版权

文章目录

一、什么是同源和不同源文件

1.1. 文件的地址两种情况

  • 文件存在于自身项目中 如:@/assets/img/xxx.png
  • 文件的地址是在线地址,如:http://xxx.png或者https://xxx.png

1.2. 什么是同源文件

  • 对于存在于自身项目中的文件,一定是同源文件
  • 对于在线文件地址,则必须遵守同源策略(协议域名和端口号一致)才是同源文件

二、同源文件的下载

2.1. 方式一:直接使用a标签下载

对于同源文件的下载可以直接使用a标签,配合download属性即可下载,如果download给了属性值,那么属性值就是文件名。

<!-- a链接下载,同源download属性没有任何问题,默认都是下载文件; download="fileName" 不指定,默认就是当前资源文件名-->
<a href="./assets/note.txt" download="载txt">下载txt</a>
<a href="./assets/info.json" download="下载JSON">下载JSON</a>
<a href="./assets/avatar.jpg" download="下载png图片">下载png图片</a>
<a href="./assets/avatar.zip" download="下载zip压缩包">下载zip压缩包</a>
<a href="./assets/markdown.md" download="下载markdown文件">下载markdown文件</a>

<a href="./assets/JavaScript高级程序设计(第4版 中文高清).pdf" download="下载PDF">下载PDF</a>
<a href="./assets/销售统计表.xlsx" download>下载Excel</a>
<a href="./assets/毕业论文.docx" download>下载Word</a>
<a href="./assets/述职报告.pptx" download>下载PPT</a>

2.2. 方式二:封装下载方法(原理依旧是a标签)

const downloadByUrl = (url, filename) => {
    if (!url) throw new Error('当前没有下载链接');
    const a = document.createElement("a");
    a.style.display = "none";
    a.href = url;
    a.download = filename;
    // 使用target="_blank"时,添加rel="noopener noreferrer" 堵住钓鱼安全漏洞 防止新页面window指向之前的页面
    a.rel = "noopener noreferrer";
    document.body.append(a);
    a.click();
    setTimeout(() => {
        a.remove();
    }, 1000);
};

二、不同源文件下载

2.1. a标签的缺点

2.1.1. 同源 URL 的限制

download 只在同源 URL 、 blob: 、 data: 协议起作用

也就是说跨域是下载不了的…(这种说法不全对,除非后端配置 Content-Disposition 为 attachment,后面会讲)

a标签在下载第三方资源(非同源)文件,download属性会根据浏览器对文件的支持而表现出不同。浏览器默认支持txt,json,pdf,image等文件,此时会直接预览打开,而不是下载。而对于不支持的文件,会直接下载,比如zip,xlsx,word.

<!--浏览器默认支持txt,json,markdown,pdf,image(png等)等文件的预览,如果是第三方资源,且不同源,此时a标签download的下载功能会失效;-->
<a href="http://storage.xuetangx.com/public_assets/xuetangx/PDF/PlayerAPI_v1.0.6.pdf" download>下载第三方PDF文档</a>
<a href="https://tse2-mm.cn.bing.net/th/id/OIP-C.D3eZ5Niid-sAEK0DHvSZPAHaKr?pid=ImgDet&rs=1" download>下载第三方图片</a>

2.1.2. 不能携带 Header

使用<a>标签下载是带不了Header 的,因此不能通过添加请求表头的形式来鉴权,但是可以将sessionidtoken字段拼接到 URL 末尾来达到鉴权的目的。这里我们给出另一个解决方案:

  • 先发送请求获取 blob 文件流,这样就能在请求时进行鉴权;
  • 鉴权通过后再执行下载操作。

这样是不是就能很好的同时解决问题1和问题2带来的两个痛点了呢,而且下载的文件名也能自定义了

顺便提一下,location.href window.open 也存在同样的问题。

2.2. 方式一:请求获取 blob 文件流下载

// 下载
export const fileDownload = (url, filename) => {
  fetch(url)
    .then(response => {
      return response.blob()
    })
    .then(blob => {
      const blobUrl = window.URL.createObjectURL(blob)
      // 创建a标签下载
      const tempLink = document.createElement('a')
      tempLink.style.display = 'none'
      tempLink.href = blobUrl
      tempLink.setAttribute('download', filename)
      document.body.appendChild(tempLink)
      tempLink.click()
      setTimeout(() => {
        URL.revokeObjectURL(blobUrl)
        tempLink.remove()
        document.body.removeChild(tempLink)
      })
    })
}

2.3. 方式二:服务端设置响应标头 Content-Disposition为attachment

response.setHeader("Content-Disposition", "attachment;filename=" + filename);

2.3.1. Content-Disposition

在常规的 HTTP 应答中,Content-Disposition 响应标头指示回复的内容该以何种形式展示,是以内联的形式(即网页或者页面的一部分),还是以附件的形式下载并保存到本地。

Content-Disposition有两种属性值

  • inline
    默认值,即指明资源是直接展示在页面上的
  • attachment
    即指明资源应该被下载到本地

2.3.2. download 与 Content-Disposition 的优先级

Content-Disposition设置后优先级高于a标签的download

  • attachment > download > inline
  • Content-Disposition的filename > download的值
扶苏1002
关注
专栏目录
2020最新java头条校招实习面经解析(建议收藏系列)
it小旭博客
07-07 833
第一次大公司面试的面经 此次面试说来也有点匆忙,本没想过自己会那么快就想去面试大公司,并且把自己第一次面大 公司的各种不足展现得一览无余。 当时6月20号左右身边一位朋友给了一位人超nice的师兄的内推,并且鼓励我去投简历。 最终战胜了自己的胆怯,投了一份简历给内推的师兄。 一两天后hr就打电话安排面试了。 没想到面试是要连续着面的,当时面花了一个多小时过了一面,再花一个小时面二面,最终也 止于二面。 接下来就是本文的主题了。 我把当时面试官在线面试平台中写给我做的题记录了下来,其实从面试前就打算把 面试.
跨站脚本攻击(XSS)
最新发布
CoffeMilk的博客
09-15 976
XSS(全称:Cross Site Scripting【跨站脚本攻击】),为了避免和CSS(全称:Cascading Style Sheets【层叠样式表】)名称混淆冲突,故改名为:XSS;是一种常见的Web应用程序代码注入安全漏洞之一。攻击者可以利用这种漏洞在网站上注入行恶意代码,用户在不知情的情况下访问这些被注入了恶意代码的网站内容,导致用户自己的账户、会话cookie、键盘输入内容等敏感信息被攻击者盗取,攻击者可以利用这些信息突破网站的访问限制并冒充受害用户进行操作。
文件上传和下载解析
JAVA
10-19 177
表单元素的enctype属性: application/x-www-form-urlencoded(默认) 1)默认编码方式,只处理表单域里的value属性值。 2)可通过request.getParameter()方法取得请求的参数。 multipart/form-data 1)以二进制流的方式处理表单数据,且会将文件域指定的文件内容也封装到请求参数里。 2)无法通过re...
前端使用a标签下载同源文件(备选方案)
荷鹤赫
12-29 1049
下载文件Blob,再把Blob转为本地链接,以实现跨域变同域,最后使用a标签实现下载
文件操作-2】文件下载读取全解
qq_41889600的博客
11-30 695
小弟安全 文件下载 读取
服务器解析漏洞及任意文件下载
2301_81475812的博客
02-11 2144
这时候很多人肯定会说,具有root权限直接去读shadow文件了,但是很多时候我们遇到的服务器可能只对外开放了80,443端口,这时候我们即使获得了密码作用也不大,但是具备root权限对任意文件下载利用是绝好的。文件下载功能在很多web系统上都会出现,如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。在找到下载文件的的url后,将url中的文件参数,替换为各种穿越目录,看是否能下载到相应的文件,如果能下载,就有下载漏洞。
前端html文件下载同源与异下载
菜鸟-传奇
02-02 1431
属性说明 download 下载的资的名称 target 打开该连接的方式( _self、_blank) href 资的地址(本地、远程地址) a标签跳转 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>这是一个a标签下载页面&...
鲍曼不动杆菌ZnuD蛋白环在医学信息学中的重要作用
医学信息学解锁19(2020)100342重组鲍曼不动杆菌ZnuD蛋白环Maryam Mobarak Qamsaria,Rasooli a,b,*,Shakiba Darvish Alipour Astanehca伊朗德黑兰沙希德大学生物系b伊朗德黑兰沙希德大学分子微生物学研究中心c...
CADD课程学习(4)-- 获取没有晶体结构的蛋白(SWISS-Model)
发呆的比目鱼的博客
07-01 1597
CADD课程学习(4)-- 获取没有晶体结构的蛋白(SWISS-Model)
ajax核心技术 XMLHttpRequest 对象 性能安全 探讨和理解
木子聊前端
07-13 518
内容提要 XMLHttpRequest (XHR)对象是一个基于浏览器层面的API,可以通过JavaScript 实 现 数 据 传 输。 为后来的AJAX提供了革命性的技术支持; 主要 用于与服务器交互 XMLHttpRequest 文章中统一用简称(XHR)代替 主要讨论 XHR 怎么使用? 通过js 怎么实现数据传输? 既然是基于浏览器的API,浏览器为我们做了那些事情? 传输过程的安全机制是怎么产生的? 跨域(CORS)是怎么产生的?如何访问跨域? XHR 用法 XHR 对象的使用和普通的对象一毛
前端下载同源图片
Chloeeeeeeee的博客
05-10 285
使用 fetch 方法获取图片数据,并将其转换为 Blob 对象。然后,创建一个临时的 URL 对象,将 URL 对象赋值给 标签的 href 属性,并设置 download 属性为所需的文件名。最后,通过模拟点击 标签来触发下载
js同源视频下载
visionke的博客
01-26 203
fetch('https://internalgw-test.mottuum.com/group1/M00/00/50/rBLlJWAOlXyAEp6hABkAAApXoVw632.mp4?token=3423911b3b4f5c519a9cade07a32554f&ts=1611643549').then(res => res.blob()).then(blob => { const a = document.createElement('a'); document.body..
使用a标签下载时,设置下载文件名称
m0_71130954的博客
04-12 4158
a标签下载问题
文档代码同源
不脱发的程序猿
04-17 1831
文档代码同源,故名思意,就是文档和代码都写在代码文件里。这样可以: 1、修改代码的时候就及时修改文档,使得文档和代码及时保持一致; 2、阅读代码时,增加代码的可读性。评审代码的时候,尤其是修改时后,即对文档一同评审。结合研发流程、评审的配合,可促使代码、文档的开发逐步走向一一对应,逐步向高质量发展,同时也能提高团队素质。
js学习总结----同源同源(jsonp)
weixin_30572613的博客
08-03 199
JSONP和AJAX相同,都是客户端向服务器端发送请求:给服务器端传递内容 或者 从服务端获取数据 AJAX属于同源策略 JSONP属于同源策略(跨域请求) ->实现跨域请求的方式有很多种,只不过JSONP是最常用的 区分同源同源:  当前页面的地址 && 数据请求的接口地址  1)、协议  2)、域名或者IP  3)、端口号   以上三部分完...
文件上传相关,同源、跨域(防抖、节流)
HiYulinlin的博客
01-17 576
文件上传相关,同源、跨域(防抖、节流)
JQuery下载文件
qq_30434271的博客
07-27 2544
最近在做的一个项目里有这样的一个需求,支持用户导出(下载)系统中的数据,这就牵扯到报表以及文件下载,简单记录下 1,做报表的话,最开始我是尝试用帆软报表系统的,这东西引入到Springboot中一直没成功,参考官方的教程也不行,官方对会员客户响应度也就那么高,所以还是暂时放弃了 2.选择直接用POI和iText插件做导出,硬编码,可能更快,思路更明朗,都是开的东西,API也有现成的参考,下面简单说说步骤: 2.1,先引入maven依赖 2.2,就是编码了,这个在网上有很多前辈都实践了,我放一个比较推
HTML中的一些细节处理
jxmchou的博客
11-03 717
# 说明 参考资料:简书的 伴歌知行的JS下载图片和文件,防止浏览器直接打开 、夜半修仙,;CSDN的weixin_3791475的使用a标签下载文件不跳转;努力学习的汪:洪学习笔记 文章目录# 说明前端利用a标签实现文件[图片]下载文件下载常用方式总结分析Ⅰ-后端设置下载请求的响应头 `Content-Disposition` 强制下载Ⅱ-实现[HTMLCanvasElement]类型图片下载Ⅲ- a标签+download属性Ⅳ-通过接口跨域请求,动态创建a标签,以blob形式下载1、`fetch`请
JS实现AJAX与同源策略深度解析
同源策略是Web浏览器的一项安全政策,它限制了来自不同的“文档”或脚本可以互相交互的方式。简单来说,如果两个页面的协议、域名和端口都相同,那么它们就是同源的,否则就是跨域。例如,http://example.com 和 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值