浏览器跨域访问操作

最新推荐文章于 2024-07-02 15:15:34 发布
最新推荐文章于 2024-07-02 15:15:34 发布
阅读量395 收藏
点赞数
分类专栏: 软件工程
原文链接:https://juejin.im/post/6844903816060469262
版权

浏览器的跨域

同源策略
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

同源的定义
如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。
最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”:

  • 协议相同
  • 域名相同
  • 端口相同

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的机器上设置了一个 Cookie,包含了一些隐私信息(比如存款总额)。用户离开 A 网站以后,又去访问 B 网站,如果没有同源限制,B 网站可以读取 A 网站的 Cookie,那么隐私信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。
由此可见,同源政策是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。
随着互联网的发展,同源政策越来越严格。目前,如果非同源,共有三种行为受到限制。

无法获取非同源网页的 cookie、localstorage 和 indexedDB。
无法访问非同源网页的 DOM (iframe)。
无法向非同源地址发送 AJAX 请求 或 fetch 请求(可以发送,但浏览器拒绝接受响应)。

Ajax 跨域

浏览器的同源策略会导致跨域,也就是说,如果协议、域名或者端口有一个不同,都被当作是不同的域,就不能使用 Ajax 向不同源的服务器发送 HTTP 请求。首先我们要明确一个问题,请求跨域了,请求到底发出去没有?答案是肯定发出去了,但是浏览器拦截了响应。

Ajax 的同源策略主要是为了防止 CSRF(跨站请求伪造) 攻击,如果没有 AJAX 同源策略,相当危险,我们发起的每一次 HTTP 请求都会带上请求地址对应的 cookie

跨域的解决方式

CORS
CORS 是一个 W3C 标准,全称是跨域资源共享(Cross-origin resource sharing),它允许浏览器向跨源服务器,发出XMLHttpRequest请求。
整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与普通的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨域,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感知。因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨域通信。

在这里插入图片描述

大部分转载自 浏览器的跨域

boss_程
关注
专栏目录
浏览器跨域说明
04-07
浏览器跨域是一个重要的Web开发概念,它涉及到网页中JavaScript如何访问操作来自不同源的资源。在HTML、JavaScript、Ajax和CORS等技术的背景下,跨域限制是浏览器实施的一种安全策略,旨在防止恶意脚本从一个网站...
JavaScript框架篇——SessionStorage和LocalStorage
weixin_45273807的博客
08-13 292
1.什么是SessionStorage和LocalStorage 和Cookie一样, SessionStorage和LocalStorage也是用于存储网页中的数据的 2.Cookie、 SessionStorage、LocalStorage区别 2.1生命周期(同一浏览器下) Cookie生命周期: 默认是关闭浏览器后失效, 但是也可以设置过期时间 SessionStorage...
localStorage如何跨域
晚安
04-28 4544
具体来说,iframe 标签可以通过 src 属性指定要嵌入的 HTML 页面的 URL,该页面会被加载到 iframe 标签所在的页面中。localStorage 是 HTML5 中的一个 Web 存储 API,它可以将数据存储在浏览器中,供同一域名下的页面共享访问。由于浏览器的同源策略,localStorage 的数据只能被同一域名下的页面访问,不能被其他域名下的页面访问。通过使用 iframe 标签,可以在一个 HTML 页面中嵌入另一个 HTML 页面,从而实现页面的嵌套和复用。
chrome浏览器设置跨域详细教程
weixin_45836027的博客
07-02 3772
chrome浏览器设置跨域 详细教程
local storage在不同标签页,不同浏览器之间通用吗,可以跨域
weixin_43801836的博客
10-20 3093
local storage不可以跨域,但是可以使用iframe+postmessage可以实现。localStorage相比而言可以在多个标签页中共享数据,sessionStorage只适用于同一个标签页,:同源页面,也就是协议,端口,域名相同的页面。当然不能浏览器啦,都不是一个存储系统。
localstorage如何跨域获取(代码实例)
jingdianjiuchan的博客
03-23 4007
使用postMessage跨域通信在A域名的页面中,可以使用postMessage方法将localStorage的值发送到B域名的页面中,B域名的页面中再通过监听message事件获取localStorage的值。示例代码:在A域名的页面中。使用服务器代理在A域名的页面中,可以通过服务器代理的方式将localStorage的值传递给B域名的页面。在服务器代理中,可以通过以下代码获取localStorage的值,并将其返回给请求的页面。
跨域的解决办法(超详细)
m0_50861631的博客
03-20 3232
同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略来对脚本和请求进行校验,若不同源,则禁止使用。 同源的定义 那如果判断是否同源?主要根据三个维度,域名,协议,端口三个都相同才算同源。 举个 : 网站A网站B结果http://www.zhenai.comhttp://i.z.com不同源,域名不同http://www.zhenai.comhttp://www.z.cn不同源,域名不同http://www.zhenai.comhttp
jquery异步跨域访问代码
10-27
jQuery异步跨域访问知识点: 1. 什么是异步访问:在Web开发中,异步访问是指客户端与服务器之间进行数据交换时不阻塞用户界面的操作。例如,在用户填写表单或点击按钮时,页面不会完全重新加载,而是通过JavaScript...
Vue开发环境跨域访问问题
10-15
本文将深入探讨Vue开发环境中的跨域访问问题,并提供解决方案。 首先,理解“跨域”(CORS,Cross-Origin Resource Sharing)的概念至关重要。同源策略是浏览器为了安全而实施的一项策略,它禁止了一个源(协议+...
浏览器跨域问题解约源代码
11-29
浏览器跨域问题是一个常见的Web开发中的挑战,尤其在进行AJAX请求时,它涉及到Web应用的安全性和通信限制。跨域是由于浏览器实施的同源策略(Same-origin Policy),这是一种安全机制,防止恶意网站通过JavaScript...
js跨域访问后台
08-29
根据提供的文件信息,本文将详细解释“JS跨域访问后台”的相关知识点,包括跨域的基本概念、实现方式以及具体的代码示例。 ### 跨域基本概念 在浏览器中,为了安全考虑,存在一种称为“同源策略”的机制。简单来说...
两个html页面或多个页面间数据传送(localStorage方法)
m0_62535602的博客
07-13 5765
非常非常简洁明了,有源码,可以运行。 网上有很多关于html页面数据传送、保存的方法,但都只是方法,很少有实际样例,有也很复杂,看着头大。所以我写了两个关于html页面传送数据的源码,非常简单,希望能帮助到读者。.........
JavaScript-LocalStorage跨域方式和不同页面之间通讯方式
weixin_45203607的博客
01-09 970
我们以LocalStorage的交互方式进行演示,下代码主要不是给你们看的是给我自己看的留作一个记录,方便日后回顾, 解决方案是iframe +postMessage 方式进行跨域通讯可以自行百度搜索 消息发送器 PostMessage.js //注意事项 ,如果DOM的(iframe)没有加载出来那么下面所有的方法都将失效 //解决办法: window.onload = function () { //DOM加载完毕后在执行 // addPostMess
【前端】跨域 问题 原理 + 解决方案 下
高精尖发展
08-31 402
前言:      上一篇的排版好难看,字体都不能设置,我们可不可以不悲伤——怎么可能 正文: 先复习一下jsonp,上图一张【源】     iFrame解决跨域 如果两个网页不同源,就无法拿到对方的DOM:iframe窗口和window.open方法打开的窗口,它们与父窗口无法通信 document.getElementById("myIFrame").contentWind...
利用HTML5 LocalStorage实现页面通信channel
weixin_34235457的博客
04-16 694
引言 随着Web技术的发展,涌出了越来越多的复杂的应用。诸多Web应用逐渐向增强用户体验方向发展。在诸如付款、在线聊天等场景中,有时需要多页面进行数据通信。以前的实现方法有cookie、服务器中转、Flash插件等方法,而HTML5提供了新的LocalStorage API,能够更为便捷的实现页面通信,且相比以前的技术有容量大、效率高、无需插件等优点。 “What”能实现什么 LocalS...
LocalStorage跨域方法
我的博客简介
01-26 1556
方法打开另一个窗口时,被打开的窗口可以通过 window.opener 引用到打开它的窗口。利用这个引用,可以在不同窗口间进行消息传递,从而实现将数据存储到。通过在不同窗口间发送消息,将需要共享的数据进行传递,并在目标窗口中将数据存储到。无论使用哪种方法,都需要注意安全性,并只允许可信的域名进行跨域访问。使用服务器端中转:如果你有一个自己控制的服务器,可以通过服务器端中转来实现跨域访问。时,可以将数据发送到服务器端,然后服务器端将数据存储在自己的。在需要获取存储数据时,可以通过服务器端提供的接口获取数据。
标签页间通信
kaelyn_X的博客
12-23 783
介绍使用4种方法实现浏览器内多个标签页之间的通信。
【安全与协议】localstorage跨域存储方案
Umbrella_Um的博客
06-23 952
html5标准中一个亮点就是提供了浏览器本地存储的功能。方式有两种:localStorage和 sessionStorage。 相对于cookie,他们具有存储空间大的特点,一般可以存储5M左右,而cookie一般只有4k。 localStorage和 sessionStorage的主要区别是:localStorage的生命周期是永久的,意思就是如果不主动清除,存储的数据将一直被保存。而sessionStorage顾名思义是针对一个session的数据存储,生命周期为当前窗口,一旦窗口关闭,那么存储的数据将
实现文档信息传递之localStorage本地存储方法
qq_30815929的博客
11-23 431
 实现文档信息传递之localStorage本地存储方法 2011-12-29 15:51| 发布者: admin| 查看: 5515| 评论: 1 摘要: Cookie在web中得到广泛应用,但局限性非常明显,容量太小,有些站点会因为出于安全的考虑而禁用cookie,cookie没有想象中的那么安全。 Flash SharedObject使 用的是kissy的st
浏览器插件如何跨域访问
最新发布
09-21
浏览器插件通常受限于同源策略(Same-Origin Policy),这意味着它们只能在其自身的域名下操作,除非特定条件下允许跨域访问。为了在浏览器插件中跨域访问其他网站的数据,开发者可以采用以下几种方式: 1. JSONP (JSON with Padding):利用script标签的src属性支持来自第三方的回调函数。服务器返回数据时包裹在一个已知的JavaScript函数中。 2. CORS (Cross-Origin Resource Sharing):服务端通过设置响应头`Access-Control-Allow-Origin`,允许指定来源的请求。这种方式需要服务器配合。 3. 代理服务:通过在插件内部设置一个代理服务器,所有跨域请求先发送给这个本地服务器,再由服务器转发至目标URL并获取结果。 4. 离线存储(如Web Storage):有时,插件可以在用户授权后,将需要的跨域数据缓存在本地存储(localStorage或sessionStorage),后续访问从本地读取。 5. 使用沙箱模式(Sandboxed iframe):创建一个沙盒化的iframe,并赋予它必要的权限,让它能访问其他域的内容。 6. 服务 workers 或者 IndexedDB:对于后台任务,Service Workers 可以访问非同源资源,而IndexedDB允许离线存储数据,但通常用于缓存而非实时更新内容。 需要注意的是,每种方式都有其限制和安全风险,务必谨慎使用。特别是处理敏感信息时,一定要遵守相关隐私政策和法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值