HTML属性crossorigin和integrity有什么用

最新推荐文章于 2024-05-17 09:28:31 发布
最新推荐文章于 2024-05-17 09:28:31 发布
阅读量795 收藏 3
点赞数 2
分类专栏: 前端 文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60750453/article/details/124933733
版权

我的小站icon-default.png?t=M4ADhttps://www.ideaopen.cn/

在引入许多官方的CDN静态库时,会发现我们引入的script中,不单单只有src属性,还有crossoriginintegrity属性。

那这个东西,如果是我们本地的资源库,我们肯定是没有的。那这两个属性是干嘛的呢?

crossorigin属性

HTML5中,一些 HTML 元素提供了对 CORS 的支持。

我先解释一下CORS是啥?

相当于是给我们服务器一个白名单,让他不会拦截我们的静态资源。

支持CORS请求的浏览器一旦发现ajax请求跨域,会对请求做一些特殊处理,对于已经实现CORS接口的服务端,接受请求,并做出回应。

有一种情况比较特殊,如果我们发送的跨域请求为“非简单请求”,浏览器会在发出此请求之前首先发送一个请求类型为OPTIONS的“预检请求”,验证请求源是否为服务端允许源,这些对于开发这来说是感觉不到的,由浏览器代理。

总而言之,客户端不需要对跨域请求做任何特殊处理。

<audio>、<img>、<link>、<script> 和 <video> 都可以设置crossorigin属性

crossorigin的属性值可以是anonymoususe-credentials,如果没有属性值或者非法属性值,会被浏览器默认做anonymous

  1. crossorigin会让浏览器启用CORS访问检查,检查http响应头的Access-Control-Allow-Origin
  2. 对于传统script需要跨域获取的JS资源,控制暴露出其报错的详细信息
  3. 对于module script,控制用于跨域请求的凭据模式

而我们看看,我这里引入的静态库他给了一个anonymous。也就是不进行CORS检查。

integrity属性

integrity属性可以用在<script> 或者 <link>元素上,用来开启浏览器对获取的资源进行检查,它允许你为script或者link提供一个hash,用来进行验签,检验加载的JavaScript文件或者CSS问卷是否完整。

你可以当他是一个文件校验。和我们平常下载文件进行md5值校验一样。

告诉浏览器,使用sha384签名算法对下载的js文件进行计算,并与intergrity提供的摘要签名对比,如果二者不一致,就不会执行这个资源。

intergrity的作用有:避免由【托管在CDN的资源被篡改】而引入的XSS 风险

注意:启用 SRI 策略后,浏览器会对资源进行 CORS 校验,这就要求被请求的资源必须同域,或者配置了 Access-Control-Allow-Origin 响应头

小简(JanYork)
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTML属性
weixin_47844457的博客
05-10 133
属性定义 属性可以为元素添加附加信息; 一般描述于开始标签; 以键值对的形式出现; 属性使用标准 使用小写属性属性值; 始终为属性值加引号; 当属性值本身包含双引号时,最外层可使用单引号; 常见属性 id 适用于大多数html元素,用于定义元素唯一的id(不可重复); 可作为css文件中选择器识别名称; class 适用于大多数html元素,定义了元素的类名,通常用于指向样式表的类。 charset HTML的编码方式由meta标签定义,编码方式在charset属性中指定; 举例:
html属性
那一刻的博客
12-13 955
属性可以为 HTML 标签提供一些额外信息,或者对 HTML 标签进行修饰。attr表示属性名value表示属性值。属性值必须使用双引号" "或者单引号’ '包围。注意⚠️ :虽然双引号和单引号都可以包围属性值,但是为了规范和专业,请尽量使用双引号。一个标签可以没有属性,也可以有一个或者多个属性
html标签中crossOriginintegrity属性详解、SRI、HSTS
AIWWY的博客
07-27 1954
在canvas中使用drawImage()绘制图像时,若传入未声明属性的跨源元素,会使canvas变成污染状态(tainted),此时任何读取canvas数据的操作,如toBlob()等,均会抛出错误(可理解为在。
注解@CrossOrigin具有什么功能呢?
qq_25073223的博客
06-06 9636
CrossOrigin注解的功能简介说明
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1383
是 Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9678
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
@CrossOrigin及其实现跨域原理
cristianoxm的博客
05-18 9199
一、关于什么是跨域及解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
html里面的crossorigin属性
wdhxs的博客
11-25 2993
html里面的crossorigin属性 文章目录html里面的crossorigin属性前言一、script中crossorigin属性作用二、img、link中crossorigin 属性作用 前言 html中拥有crossorigin属性的元素有:script,link,img。都是用于CORS请求。 一、script中crossorigin属性作用 当引入跨域的脚本(比如用了 apis.google.com 上的库文件)时,如果这个脚本有错误,因为浏览器的限制(根本原因是协议的规定),是拿不到错
@CrossOrigin的使用
计算机小白的奋起
04-19 1027
说明注解@CrossOrigin的使用
HTMLWebpack插件的CDN扩展
08-10
`crossorigin`属性则用于指定跨域资源共享策略。 现在,当你运行Webpack打包命令时,Webpack将会在生成的HTML文件中插入相应的CDN链接,而不是将这些库打包到本地文件中。这样,用户的浏览器就可以直接从CDN获取...
cdn
03-14
这里的`src`属性指向了jQuery的CDN地址,`integrity`属性用于校验下载的文件是否完整无篡改,`crossorigin`属性允许跨域请求。 使用CDN的好处有: 1. 加速内容加载:CDN节点离用户越近,加载速度越快。 2. 分流...
BootstrapCarousel
02-09
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"> ...
Web前端框架开发复习代码知识点.docx
01-08
Web 前端框架开发复习代码知识点 本文档主要介绍了 Web ...* 使用 `crossorigin` 属性指定跨域请求的策略 这些知识点是 Web 前端框架开发的基础,通过实践编写代码可以巩固这些知识点,并掌握 Bootstrap 框架的使用。
BootStrap实现鼠标悬停下拉列表功能
12-01
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0-alpha1/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-KyZXEAg3QhqLMpG8r+Knujsl7/FH6V3qKXWbJ3Iv/TM9oJZC1t4v4t1zX4L" crossorigin=...
Spring 注解面面通 之 @CrossOrigin 注解应用详解
只为成功找方法 不为失败找借口
06-10 2601
默认情况下,只允许客户端访问:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。注意:CORS处理时,从Forwarded、X-Forwarded-Host、X-Forwarded-Port、X-Forwarded-Proto取请求源值。若为Cache-Control、Content-Language、Expires、Last-Modified、Pragma,则无需设置。
@CrossOrigin注解的使用指南
LSW1737554365的博客
11-03 1998
CrossOrigin注解是Spring框架提供的一种注解,用于配置CORS策略。通过在控制器类或方法上添加@CrossOrigin注解,我们可以指定哪些来源可以访问该类或方法,从而实现对CORS的简化配置。@CrossOrigin注解支持多种配置选项,例如允许特定来源、允许所有来源、指定请求头和响应头等。
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
解决springboot添加@CrossOrigin支持跨域不起作用
qq_45721173的博客
05-07 9188
问题描述 在springboot开发中,为解决跨域请求问题,在代码中添加注解@CrossOrigin不起任何作用。 后端报错信息如下 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" resp
Spring Boot 使用 CORS 解决跨域请求问题
养歌的博客
01-10 2309
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的域下,那么势必会引起跨域问题的出现。 那什么是跨域呢? 跨域指的是从一个域名去请求另外一个域名的资源。即跨域名请求,跨域时,浏览器不能执行其他域名网站的脚本,是由浏览器的 “同源策略” 造成的,是浏览器施加的安全限制。跨域的严格一点来说就是只要协议,域名,端口有任何一个的不同,就被当作是跨域。 下面举个例子: 判断下面 URL 是否和 http://www.baidu.com/a/a.html 同源 http://www.baidu.com/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小简(JanYork)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值