【每日知识】跨域及解决方案

已于 2022-05-10 16:25:39 修改
阅读量1.6k 收藏
点赞数 5
分类专栏: 每日知识 文章标签: 前端 http 安全
于 2022-04-29 21:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46580087/article/details/124497464
版权
跨域是指浏览器的同源策略限制了不同源之间的资源访问。由于安全原因,浏览器执行此策略防止恶意脚本攻击。然而,这也会导致合法的跨域请求受阻。解决跨域问题的方法包括JSONP、CORS、window.postMessage、Iframe和location.hash通信,以及使用代理如nginx。Vue.js开发中,常通过代理配置实现API请求的跨域。
摘要由CSDN通过智能技术生成

1.什么是跨域?

我们从一个域名的网页去访问另一个域名网页的资源时,协议、域名、端口任一不同即为跨域。

三者一样为同源,即为同源策略:是一种约定,它是浏览器最核心也最基本的安全功能。如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。

2.为什么要跨域?

因为浏览器的同源策略,就会产生跨域。

比如说发送的异步请求是不同的两个源,就比如是不同的的两个端口或者不同的两个协议或者不同的域名。

由于浏览器为了安全考虑,就会产生一个同源政策,不是同一个地方出来的是不允许进行交互的。

3.跨域问题解决方案

① JSONP原理

利用html里 <script> 标签src属性没有跨域限制的漏洞,网页可以得到从其他来源动态产生的数据。

<script src="其他源的文件">

JSONP请求一定需要对方的服务器做支持才可以。

②CORS 跨域资源共享 支持所有的主流浏览器 ie9+

XMLHttpRequest发送请求的时候,如果不同源,headers { Origin }

后台处理:浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。

服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 

Access-Control-Allow-Origin:* 所有的东西都是可以访问的。

该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。

window.postMessage跨域 主流浏览器 ie8

注意:vue中跨域:代理proxy 本质上是 cors跨域

在vue.config.js配置文件中

proxy:{
  target:
  changeOrigin:
  pathRewrite:
}

③Window.name + Iframe

通过iframe的src属性由外域转向本地域,跨域数据即由iframe的window.name从外域传递到本地域。

④ location.hash + iframe

实现原理: a.html欲与c.html跨域相互通信,通过中间页b.html来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。

实现步骤:一开始a.html给c.html传一个hash值,然后c.html收到hash值后,再把hash值传递给b.html,最后b.html将结果放到a.html的hash值中。

⑤ nginx反向代理

www.baidu.com/index.html需要调用www.sina.com/server.php,

可以写一个接口www.baidu.com/server.php,

由这个接口在后端去调用www.sina.com/server.php并拿到返回值,然后再返回给index.html

谢豪杰
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
【零散知识点总结1】
weixin_44543307的博客
03-06 6338
零散笔记总结@Reference、@Autowired和@Resource的区别:DubbohttpHTTPSvue.js跟thymeleaf 的区别web开发,提供3个@Component注解衍生注解(功能一样)取代 @Reference、@Autowired和@Resource的区别: @Reference:是dubbo的注解,也是注入,他一般注入的是分布式的远程服务的对象,需要dubbo配置使用。 @Autowired:org.springframework.beans.factor
SpringBoot项目跨域请求放行配置工具类
zhengTornado的博客
12-06 599
package com.ruoyi.framework.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfigurat...
Java跨域问题的几种后端解决方式
dedede001的博客
05-05 4467
跨域指的是:浏览器不能执行其他网站的脚本,从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,都是跨域跨域是由浏览器的同源策略造成的,是浏览器施加的安全限制。a页面想获取b页面资源,如果a、b页面的协议、名、端口、子名不同,所进行的访问行动都是跨域的。
java跨域的影响,Java 跨域问题
weixin_30456153的博客
03-10 364
前言在日常的前后端项目分离的项目开发中,通常遇到资源请求跨域的问题。本文将介绍跨域出现的原因,以及在Springboot中的解决方式。什么是跨域跨域是指一个页面想获取另一个页面中的资源,如果这两个页面的协议、名、子名、端口不同,或者两个页面一个为IP地址另一个为名地址,这种情况下所进行的访问行动都是跨域的。而出于安全性的考虑,浏览器通常限制跨域访问,不允许跨域请求资源。CORS跨域资源共...
cors:解决跨域的10+种方法
05-06
解决万恶的跨域 default:前端文件 admin:后台文件 一、JSONP 不存在跨域的标签只能get请求 script img link iframe ... 二、后端设置cors 一旦设置允许跨域,则浏览器不能传输cookie 允许跨域的头只有设置一个或者所有 ctx.set('Access-Control-Allow-Origin', '*'); ctx.set('Access-Control-Allow-Headers', 'Content-Type, Content-Length, Authorization, Accept, X-Requested-With , yourHeaderFeild'); ctx.set('Access-Control-Allow-Methods', 'PUT, POST, GET, DELETE, OPTIONS')
java后端配置跨域不生效、无效
公子小杰的博客
06-01 2121
java后端配置跨域不生效、无效。
跨域及其解决方案
weixin_43845044的博客
05-11 330
同源策略 window.origin&&location.origin 源=协议+名+端口号 差一个字都不行 浏览器默认不允许跨域,保护用户隐私 解决方案一:CORS(cross origin resourse share) 响应头:Access-Control-Allow-Origin response.setHeader(‘Access-Control-Allow-Origin’,request.headers[‘referer’]) 解决方案二:JSONP IE6-10全不支持COR
每日知识】Ajax选择题部分
qq_46580087的博客
03-18 2378
在这个世界上,所有真性情的人,想法总是与众不同。
前端基础知识点-每天一个基本知识点(100+个前端知识,你是否都知道?)
m0_67394006的博客
03-02 9089
文章目录 前言 第一回合 一、知识点:cookie(21/09/06) 二、知识点:节流和防抖(21/09/07) 三、知识点:var和let以及const(21/09/08) 四:知识点:深拷贝和浅拷贝(21/09/09) 五、知识点:作用和作用链(21/09/10) 六、知识点:从输入URL到页面展示这中间发生了什么(21/09/11) 七、知识点:重排和重绘(21/09/12) 八、知识点:TCP和UDP(21/09/13) 九、知识点:三次握手(21/09/15) 十、知识点:绝对定位和相对定
考试类精品--️每天花5分钟的时间,弄懂一道面试题 or Js小知识 来鞭策自己学习思考,每天进步一点,流年笑掷,未.zip
最新发布
02-06
8. **面试题解析**:可能包含一些常见的面试问题,如JavaScript的this指向、闭包的应用、跨域解决方案、性能优化策略等。 9. **实践案例**:通过实际的代码示例来巩固理论知识,帮助用户更好地理解和应用所学。 ...
java允许跨域有什么缺点_浅谈spring-boot 允许接口跨域并实现拦截(CORS)
weixin_42309773的博客
02-25 297
本文介绍了spring-boot 允许接口跨域并实现拦截(cors),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webcors跨域的配置(主要配置允许什么样的方法跨域)import org.springframewor...
跨域后果、跨域的理解
weixin_43228393的博客
02-02 1044
什么是跨域 同源策略是浏览器的一种基础安全功能, 阻止一个javascript脚本和另一个的内容交互 当请求url的协议,名, 端口三者任意一个与当前页面url不同, 就跨域 跨域的后果 就是违反同源策略的后果: 1.无法读取同源网页的cookies,LocalStorage和IndexedDB 2.无法解除非同源网页的DOM 3.无法向非同源网页发送AJAX请求 注: 本文为部分转载, 完整文章请访问:https://blog.csdn.net/qq_38128179/article/deta
后端对接接口时候遇到的跨域问题
u012146058的博客
04-04 2731
什么是跨域 跨域是指从一个名的网页去请求另一个名的资源。比如从http://www.baidu.com/页面去请求google.com的资源。跨域的严格一点的定义是:只要协议,名,端口有任何一个的不同,就被当成是跨域。 之所以要限制跨域访问,是因为如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题,比如下面的两种跨域攻击: AJAX同源策略 用户访...
Java后端解决跨域问题
qq_42858008的博客
03-16 1726
其实跨域问题的产生是在前后端分离的情况下,分离部署产生的浏览器自我保护行为,前端也可以解决跨域问题。以下仅提供了三种后端解决方案
Java 后端服务的跨域处理
qq_41950429的博客
12-24 1970
java后端服务的跨域处理
安全系列之跨域跨域解决方案
qq_35789269的博客
02-19 1965
一、为什么出现跨域问题 出于浏览器的同源策略限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。 二、什么是跨域 当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为跨域,举几个例子: 三、非同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 Inde
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢豪杰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值