浏览器跨域访问操作

最新推荐文章于 2024-07-02 15:15:34 发布
最新推荐文章于 2024-07-02 15:15:34 发布
阅读量396 收藏
点赞数
分类专栏: 软件工程
原文链接:https://juejin.im/post/6844903816060469262
版权

浏览器的跨域

同源策略
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

同源的定义
如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。
最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”:

  • 协议相同
  • 域名相同
  • 端口相同

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的机器上设置了一个 Cookie,包含了一些隐私信息(比如存款总额)。用户离开 A 网站以后,又去访问 B 网站,如果没有同源限制,B 网站可以读取 A 网站的 Cookie,那么隐私信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。
由此可见,同源政策是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。
随着互联网的发展,同源政策越来越严格。目前,如果非同源,共有三种行为受到限制。

无法获取非同源网页的 cookie、localstorage 和 indexedDB。
无法访问非同源网页的 DOM (iframe)。
无法向非同源地址发送 AJAX 请求 或 fetch 请求(可以发送,但浏览器拒绝接受响应)。

Ajax 跨域

浏览器的同源策略会导致跨域,也就是说,如果协议、域名或者端口有一个不同,都被当作是不同的域,就不能使用 Ajax 向不同源的服务器发送 HTTP 请求。首先我们要明确一个问题,请求跨域了,请求到底发出去没有?答案是肯定发出去了,但是浏览器拦截了响应。

Ajax 的同源策略主要是为了防止 CSRF(跨站请求伪造) 攻击,如果没有 AJAX 同源策略,相当危险,我们发起的每一次 HTTP 请求都会带上请求地址对应的 cookie

跨域的解决方式

CORS
CORS 是一个 W3C 标准,全称是跨域资源共享(Cross-origin resource sharing),它允许浏览器向跨源服务器,发出XMLHttpRequest请求。
整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与普通的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨域,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感知。因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨域通信。

在这里插入图片描述

大部分转载自 浏览器的跨域

boss_程
关注
专栏目录
localstorage存储的跨域解决方案
我笔记
12-18 1万+
localstorage也存在 跨域的问题, 【解决思路如下】 在A域和B域下引入C域,所有的读写都由C域来完成,本地数据存在C域下; 因此 A哉和B域的页面必定要引入C域的页面; 当然C域最好是主域,原因后面会提到(在localstorage 不方便的情况下使用cookie); 【A域】【B域】需要读写时,通过postMessage 向【C域】发送哉消息, 【C域】监听跨域消息,在接...
什么是浏览器跨域访问操作,js如何实现?
m0_52435951的博客
11-14 1162
文章目录一:什么是跨域1.从浏览器入手2.从域名入手3.从jsonp入手(1)具体实现思路(2)封装一个 JSONP 函数4.从代理入手5.从CORS入手6.Node 中间件代理二:如何实现跨域下的登陆三:总结 一:什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 跨域的严格一点的定义是:只要 协议,域名,端口有
浏览器跨域访问解决方案
nsping1990106的博客
10-26 195
跨域大家都知道,不同地址,不同端口,不同级别,不同协议都会构成跨域。例如:about.haorooms.com和www.haorooms.com都会构成跨域。总结起来只要协议、域名、端口有任何一个不同,都被当作是不同的域。下面举例,每两个一组。 URL 说明 是否允许通信 http://www.haorooms.com/a.js http://www.haorooms.com/b.js 同一域名下 允许 http://www.haoro
chrome浏览器设置跨域详细教程
weixin_45836027的博客
07-02 4288
chrome浏览器设置跨域 详细教程
什么是浏览器跨域访问操作?js如何实现
m0_59306431的博客
10-15 262
一、浏览器跨域访问操作 浏览器从一个域名的网页去请求一个域名的资源时,域名、端口、协议任一不同,都是跨域。 二、js实现跨域 1、跨域资源共享(CORS) 定义在访问跨域资源时,浏览器与服务器怎么沟通,使用自定义HTTP头部让浏览器与服务器沟通,从而决定请求是否成功。服务器端通过设置Access-Control-Allow-Origin,当浏览器检测到相应设置,则允许Ajax进行跨域访问。 2、基于script标签实现跨域 通过动态创建script标签就可以
【安全与协议】localstorage跨域存储方案
Umbrella_Um的博客
06-23 958
html5标准中一个亮点就是提供了浏览器本地存储的功能。方式有两种:localStorage和 sessionStorage。 相对于cookie,他们具有存储空间大的特点,一般可以存储5M左右,而cookie一般只有4k。 localStorage和 sessionStorage的主要区别是:localStorage的生命周期是永久的,意思就是如果不主动清除,存储的数据将一直被保存。而sessionStorage顾名思义是针对一个session的数据存储,生命周期为当前窗口,一旦窗口关闭,那么存储的数据将
解决浏览器跨域问题
qq_40630924的博客
03-21 341
前端解决浏览器跨域问题 浏览器会出现跨域的问题,服务器不会出现跨域的问题,可以解决浏览器上的跨域问题就好,不需要在代码上写东西,最后打包的时候还会部署到服务器上 详细配置在这里 ...
什么是浏览器跨域访问操作,JS该如何实现?
qq_47956922的博客
11-14 256
跨域访问跨域访问就是你在一个域环境下,访问另一个域的内容。 跨域访问前提是彼此相互信任,不然是没法访问的。 跨域跟服务器没关系 只跟域名有关系 只有在同一个域名下 才不算跨域 一级域名相同 二级域名不同都算是跨域! 假设你有两个站点www.a.com和www.b.com 在a中用ajax向b发送请求,这就是跨域请求了。 JS如何实现? 1.基于iframe实现跨域 基于iframe实现的跨域要求两个域具有aa.xx.com,bb.xx.com这种特点,也就是两个页面必须属于一个基础域(例如都是xxx.c
浏览器跨域访问
weixin_45951911的博客
11-06 672
什么是跨域资源共享 源资源共享 (CORS)是http-基于标头的机制,允许服务器指示任何其他起源S(域、协议或端口),而不是浏览器应该允许加载资源的自身。CORS还依赖于浏览器向承载源资源的服务器发出“预飞”请求的机制,以检查服务器是否允许实际请求。在该预运行中,浏览器发送指示将在实际请求中使用的HTTP方法和标头的标头。 造成跨域的两种策略 浏览器的同源策略会导致跨域,这里同源策略又分为以下两种 DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的if
浏览器跨域说明
04-07
浏览器跨域是一个重要的Web开发概念,它涉及到网页中JavaScript如何访问操作来自不同源的资源。在HTML、JavaScript、Ajax和CORS等技术的背景下,跨域限制是浏览器实施的一种安全策略,旨在防止恶意脚本从一个网站...
Javascript在发送ajax请求时,URL的域名地址是使用绝对地址还是相对地址?& 什么是浏览器跨域访问操作,js如何实现
qq_51028649的博客
11-07 215
Ajax概念 Ajax(Asynchronous JavaScript and XML)是运用JavaScript和可扩展语言(XML)实现浏览器与服务器通信的一种技术。 发送请求的两种方式 发送请求的两种方式:创建XMLHTTPRequest对象后,Ajax就可以使用XMLHttpRequest对象的open()和send()方法将请求发送至服务器,请求分为GET方式请求和POST方式请求。open函数带的参数为(method,url,async),send带的参数为(content)。 URL的域名地址
如何使用localstorage代替cookie实现跨域共享数据问题
09-28
主要介绍了如何使用localstorage代替cookie实现跨域共享数据问题,本文给大家带来了实现方案,使用postmessage和localstorage进行数据跨域共享问题,感兴趣的朋友一起看看吧
LocalStorage跨域方法
我的博客简介
01-26 1616
方法打开另一个窗口时,被打开的窗口可以通过 window.opener 引用到打开它的窗口。利用这个引用,可以在不同窗口间进行消息传递,从而实现将数据存储到。通过在不同窗口间发送消息,将需要共享的数据进行传递,并在目标窗口中将数据存储到。无论使用哪种方法,都需要注意安全性,并只允许可信的域名进行跨域访问。使用服务器端中转:如果你有一个自己控制的服务器,可以通过服务器端中转来实现跨域访问。时,可以将数据发送到服务器端,然后服务器端将数据存储在自己的。在需要获取存储数据时,可以通过服务器端提供的接口获取数据。
localStorage 跨域请求
freedom_fd的博客
05-13 1952
localStorage 跨域请求 http://www.a.jwt.com/login.php A网站 http://www.b.jwt.com/callback.php B 网站 A网站 获取 b网站的 localStorage 信息 A网站 <!DOCTYPE html> <html lang="en"> <head> <meta c...
标签页间通信
kaelyn_X的博客
12-23 789
介绍使用4种方法实现浏览器内多个标签页之间的通信。
localStorage如何跨域
晚安
04-28 4588
具体来说,iframe 标签可以通过 src 属性指定要嵌入的 HTML 页面的 URL,该页面会被加载到 iframe 标签所在的页面中。localStorage 是 HTML5 中的一个 Web 存储 API,它可以将数据存储在浏览器中,供同一域名下的页面共享访问。由于浏览器的同源策略,localStorage 的数据只能被同一域名下的页面访问,不能被其他域名下的页面访问。通过使用 iframe 标签,可以在一个 HTML 页面中嵌入另一个 HTML 页面,从而实现页面的嵌套和复用。
Ajax实现跨域访问
weixin_44966759的博客
09-09 483
实现跨域访问 跨域访问是什么 同源策略 1995年。同源策略有Netscape公司引入浏览器。目前,所有浏览器都实行这个政策。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。随着互联网的发展,“同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制: 1.Cookie,LocalStorage和indexDB无法读取 2.DOM无法获得 3.AJAX请求不能发送 虽然这些限制是必要的,但是有时很不方便,合理的用途也收到影响。 所谓“同源”指的是“三个相同”:协议相同,域名相同以及端口
localstorage跨域解决方案
w36680130的博客
02-28 575
localstorage跨域解决方案
JavaScript-LocalStorage跨域方式和不同页面之间通讯方式
weixin_45203607的博客
01-09 973
我们以LocalStorage的交互方式进行演示,下代码主要不是给你们看的是给我自己看的留作一个记录,方便日后回顾, 解决方案是iframe +postMessage 方式进行跨域通讯可以自行百度搜索 消息发送器 PostMessage.js //注意事项 ,如果DOM的(iframe)没有加载出来那么下面所有的方法都将失效 //解决办法: window.onload = function () { //DOM加载完毕后在执行 // addPostMess
浏览器插件如何跨域访问
最新发布
09-21
浏览器插件通常受限于同源策略(Same-Origin Policy),这意味着它们只能在其自身的域名下操作,除非特定条件下允许跨域访问。为了在浏览器插件中跨域访问其他网站的数据,开发者可以采用以下几种方式: 1. JSONP ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值