前端面试:同源策略和跨域

最新推荐文章于 2024-05-21 18:25:04 发布
最新推荐文章于 2024-05-21 18:25:04 发布
阅读量1.5k 收藏 6
点赞数 2
分类专栏: js 文章标签: javascript ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46509219/article/details/124370962
版权

前端面试:同源策略和跨域

知识点

什么是同源

同源指的是两个URL的协议、域名、端口号都相同,则两个页面具有相同的源。

http://www.test.com/80/index.html中,http:是协议名,//www.test.com/是域名,/80/是端口号

  • http://www.test.com/80/index.htmlhttp://www.test.com/main.html同源。端口号不显示则默认为80端口index.htmlmain.html为网页名

  • http://www.test.com/80/index.htmlhttp://www.test.com/80/main.html同源。

  • http://www.test.com/80/index.htmlhttps://www.test.com/main.html不同源。协议名不一致

  • http://www.test.com/80/index.htmlhttp://www.user.com/index.html不同源。域名不一致

  • http://www.test.com/80/index.htmlhttp://www.test.com/7990/main.html不同源。端口号不一致

什么是同源策略

同源策略(Same origin policy)浏览器提供的一种安全策略功能。(目的:隔离潜在的恶意文件,提供安全)

MDN官方给出的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制

其实,这话和没说一样,同样的中文,但是组织起来,却不理解

通俗讲,就是浏览器限制不是同源的网站进行交互,不是同源说明协议名、域名、端口号其中任意一个不一致,同源策略相当于给网页交互上了一层隐形的墙

什么是跨域

两个URL的协议名、域名、端口号其中任意一个不一致,则叫跨域

  • http://www.test.com/80/index.htmlhttps://www.test.com/main.html跨域。协议名不一致
  • http://www.test.com/80/index.htmlhttp://www.user.com/index.html跨域。域名不一致
  • http://www.test.com/80/index.htmlhttp://www.test.com/7990/main.html跨域。端口号不一致
出现跨域的根本原因

浏览器的同源策略不允许非同源的URL之间进行资源的交互

浏览器对跨域请求的拦截

如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

  1. 浏览器允许发起跨域请求
  2. 浏览器能接收到服务器响应的数据
  3. 但首先会被浏览器的同源策略所拦截,不会直接把数据交给浏览器的ajax请求中,则服务器响应的数据无法被页面获取

就比如皇帝(浏览器A)住在乾清宫发圣旨,皇后(服务器B)接到命令,立马传回去,不过皇帝身份比较高贵,需要通过太监(同源策略)来拦截收到的信息,然后再统一传给皇帝

浏览器如何实现跨域数据请求

两种方式:

JSONP:只支持GET,不支持POST请求

CORS:GET、POST都支持,官方跨域ajax请求的根本解决方案

什么是JSONP

通过<script>标签src属性请求接口数据,进行函数回调。目的:解决主流浏览器跨域请求数据访问的问题

由于同源策略,浏览器无法接收非同源接口数据;

由于<script>标签不受到浏览器同源策略的影响,因此通过src属性请求接口数据,进行函数回调,就是JSONP的实现原理。

<script>
    function getJsonP(res) {
    console.log('得到了res数据:' + res);
</script>
<script src="./js/getData.js?callback=getJsonP"></script>

jsonp可以将目标代码作为js的形式加载过来

还可以直接利用jqueryajax请求jsonp

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <script src="./lib/jquery.js"></script>
</head>

<body>
    <!-- jquery动态添加jsonp请求 -->
    <button id="btnjsonp">发起jsonp请求</button>
    <script>
        // 入口函数
        $(function () {
            $("btnjsonp").on('click', function () {
                $.ajax({
                    url: "./data/data.json",
                    dataType: "jsonp",
                    jsonpCallback: 'abd',
                    success: function (res) {
                        console.log(res);
                    }
                })
            })
        })
    </script>
</body>
</html>
JSONP只支持GET请求,不支持POST;不属于ajax请求
皮皮怪鼠
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
前端面试必备之同源详解
09-22
是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同上(即名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源的相关资料,文中通过示例代码...
前端面试题及答案.zip
04-18
- 同源策略解决方案:JSONP、CORS、代理服务器。 - 性能优化:减少HTTP请求、压缩资源、缓存策略。 5. Vue/React/Angular等框架: - Vue的组件化开发、虚拟DOM、指令系统。 - React的状态管理和生命周期...
前端同源策略详解
mkbird的博客
09-24 1397
webcoket作为一种常用于实时聊天的协议,本身就不存在问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端和服务器中间使用一个代理服务器,代理服务器和客户端同源,代理服务器和服务器进行数据交互,这样就实现了。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
【网络基础】初级前端需要掌握知识,什么是同源策略,如何解决问题
庞囧的博客
04-24 431
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。请求其实是非常常见的,比如一些网站下面有很多子,同是一家人还不能访问就很离谱,于是出现了很多解决问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
前端基础入门三大核心之HTML篇 —— 同源策略的深度解析与安全实践
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 829
同源策略(Same-origin policy)是一种约定,由Netscape公司于1995年引入,旨在防止不同源的网页之间相互干扰和恶意操作。简而言之,该策略规定了浏览器允许脚本访问的资源范围,仅限于与当前网页同源的资源。所谓“同源”,指的是协议、名和端口号完全相同。同源策略作为Web安全的基石,其重要性不言而喻。然而,在日益复杂的Web应用环境中,灵活而安全地处理通信成为了前端开发者必备的技能。
同源策略
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
前端网络之同源策略
爱前端的程序媛的博客
03-14 684
同源策略及其解决方案
你需要知道的前端知识(同源、正向代理、反向代理、前端代理、nignx反向代理)
Bcoovo的博客
04-14 1856
前端开发过程中不可绕开的问题,本文详细讲了出现的原因,以及解决的方法,介绍了正向代理和反向代理,并对反向代理工具nginx进行了详细介绍
前端面试必刷//浏览器工作原理/Vue/React/性能优化
12-06
总结来说,掌握解决方案、理解浏览器工作原理、精通Vue和React框架,以及掌握性能优化技巧,这些都是前端面试中常见的考察点。深入学习并实践这些知识点,不仅能提高面试成功率,也能在实际工作中提升开发效率和...
前端面试题之safe相关题集.zip
最新发布
06-21
9. **浏览器同源策略**:理解同源策略的原理,知道如何使用CORS、IFrame和Web Workers等技术来安全地通信。 10. **前端性能优化与安全**:性能优化的同时,也要考虑安全问题,如减少HTTP请求、使用CDN、代码...
关于面试web前端的一些问题.mp4
03-16
8. **浏览器工作原理**:了解渲染过程(解析HTML、构建DOM树、CSSOM树、合并成渲染树、布局和绘制)、同源策略解决方案、缓存机制(HTTP缓存、Service Worker)以及性能优化策略。 9. **性能优化**:包括代码...
前端同源策略 请求问题详解
qq_41867900的博客
10-17 2531
在本文中,将阅读到的内容有 同源策略 JSONP CORS 1. 同源策略 本小节内容 1.1 同源策略 1.2 同源策略存在的意义和目的 1.1 同源策略 浏览器的安全策略当中有一个重要的策略叫做同源策略。它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 首先要明白同源的定义是什么? 如果两个URL的**协议(protocol)、名(domain)和端口(port)**都相同的话,这两个URL就是同源的。 与 URL.
同源策略(经典前端面试题)
weixin_49602426的博客
10-18 236
:是指浏览器不能执行其它网站的脚本;是由浏览器的同源策略造成的;是浏览器对JavaScript实施的安全限制;那么只要协议、名、端口有任何一个不同,都会被当做是不同的原理:通过各种方式,避开浏览器的安全限制;同源策略(Same origin policy):是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。http协议。
前端同源策略问题解决方法
路漫漫其修远兮,吾将上下而求索。
09-20 2044
1.问题 原因:浏览器的同源策略导致了。详情请点击 同源策略存在必要性:浅谈CSRF攻击 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 JSONP 原理: 在HTML标签里,一些标签比如script,img这样的获取资源的标签是没有限制的。 动态插入script标签,通过script标签引入一个js文件,这...
前端人员都懂的浏览器的同源策略,以及如何进行不同源间的相互访问
青颜的天空的博客
03-11 1337
引言 作为前端开发人员,你要是连同源策略都不知道是什么,那就太说不过去了。本篇文章将讲述同源策略的定义, 以及当我们需要克服同源策略,如何进行访问数据的方法。 一、同源策略的定义 同源策略: 浏览器自带的一种安全策略,他是指协议、名、 端口 三个都相同的才能互相访问,即若协议、名、端口有一个不相同时,浏览器禁止页面加载或执行与自身不同的脚本。 那既然有同源的概念,那必定有不同源的概念,接下来我们来看一个组例子, 理解一下什么是同源,什么是不同源。 url 是否同源(以及原因) .
同源访问策略问题
m0_63070387的博客
01-15 383
关于同源访问策略问题
web前端面试-------同源策略和解决问题的九种方法
别告诉我有Bug
09-17 3235
什么是同源策略? 两个页面地址中的协议、名和端口号一致,则表示同源。 例如该地址 https://www.google.com 和以下地址对比 地址 同源 原因 http://www.google.com 否 协议不一致 https://google.com 否 名不一致 https://www.google.com:81 否 ...
前端同源策略
liouswll的博客
06-14 758
同源:协议相同,名相同,端口相同同源策略:为了保护用户信息安全,防止恶意的网络窃取数据。非同源限制:1.cookie ocalstorage indexDB无法获取2.DOM无法获得3.AJAX请求不能发送http://www.example.com/dir/page.html个网址中,协议是http://,名是www.example.com,端口号是80...
前端面试必备:互联网大厂与HTTP知识点解析
"这篇资料是关于前端面试经验的汇总,主要针对互联网大厂的校招,内容涵盖了HTTP协议、技术、Vue.js的代理设置等多个核心知识点。" 在前端面试中,理解HTTP协议是非常基础但重要的部分。HTTP协议中的GET和POST...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

皮皮怪鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值