什么是同源策略?

已于 2023-12-19 18:23:34 修改
阅读量632 收藏 6
点赞数 11
分类专栏: 前端 文章标签: 前端
于 2023-12-17 23:17:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65225435/article/details/135047815
版权

同源

同源指的是URL有相同的协议、主机名和端口号。

同源策略

同源策略指的是浏览器提供的安全功能,非同源的RUL之间不能进行资源交互

跨域

两个非同源之间要进行资源交互就是跨域。

浏览器对跨域请求的拦截

浏览器是允许跨域请求的,但是请求返回的数据会被浏览器拦截,无法显示到页面,拦截过程:

解决跨域JSONP

jsonp的原理就是利用了script标签不受浏览器同源策略的限制,然后和后端一起配合来解决跨域问题的。

(前端+后端)不受同源策略影响的标签:<image>、<script>、<link>、<iframe>

JSONP利用script标签,将请求放在src标签中,前端通过一段javascript代码获取后端数据。

<script src="https://localhost:8080/getJSONP?fn=setJSONP"></script>

优势:轻量、兼容性高,不需要XMLHttpRequest

缺点:

  • 只支持get请求
  • 存在被恶意注入脚本风险
  • 接口异常,无法监听

 CORS(跨域资源共享)

后端设置响应头中的Access-Control-Allow-Origin字段,该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网址都可以访问资源。

res.header('Access-Control-Allow-Origin','*')
res.header('Access-Control-Allow-Origin','http://localhost:8080')

优点:操作简单、支持所有http请求类型(get、post、delete、put)

缺点:IE8以下的浏览器不支持

代理转发

同源策略是浏览器需要遵循的标准,而如果是服务器向服务器请求就无需遵循同源策略。 

nginx反向代理方式和node中间件代理方式的原理其实差不多,都是利用了服务器和服务器之间通信不受浏览器的同源策略的限制,但是node代理方式相对复杂一些,还要自己搭建一个node服务器,而用nginx只需要修改nginx.conf配置文件即可解决跨域问题。

postMessage

h5新增的跨文档消息传递,window.postMessage() 方法可以安全地实现跨源通信,此方法一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。

主要的用途是实现多窗口,多文档之间通信:

  1. 页面和其打开的新窗口的数据传递
  2. 多窗口之间消息传递
  3. 页面与嵌套的 iframe 消息传递
<body> 
    <h2>index页面</h2>
    <iframe
        src="http://localhost:3000"
        frameborder="0"
        id="iframe"
        onload="load()"
        ></iframe>
</body>
<script>
    window.addEventListener('message', ev => {
        const {data, origin, source} = ev
        if(origin !== 'http://localhost:3000') return
        console.log('接收iframe页面发送的消息:', data)

    })
    function load() {
        iframe.contentWindow.postMessage("给iframe页面发送的消息", "http://localhost:3000");
    }
</script>


<body>
    <h1>iframe嵌入的页面</h1>
</body>
<script>
    window.addEventListener('message', ev => {
        const {data, origin, source} = ev
        if(origin !== 'http://127.0.0.1:5500') return
        console.log('接收到index页面发送的消息:', data)
        source.postMessage('给index页面发送的消息', origin)
    })
</script>

 使用postMessage向其它窗口发送数据的时候需要注意的就是,应该始终指定精确的目标 origin,而不是 *,使用window监听message事件,接收其他网站发送的 message时,请始终使用 origin 和 source 属性验证发件人的身份

Websocket方式解决跨域

使用Websocket也可以解决跨域问题,因为WebSocket本身不存在跨域问题,所以我们可以利用webSocket来进行非同源之间的通信

攻城狮啊尧
关注
  • 11
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
什么是同源策略
hikin
01-02 408
 一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:     假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一 个tab窗口中打开了银行网...
什么是同源策略?解决跨域的三种方法?
qq_52409560的博客
12-18 1790
比如JSONP就是一种独立的跨域处理方式,不需要服务器端配置CORS来支持,当然在一个项目里面两者可以混合起来使用:获取数据就用JSONP,提交数据就用CORS;(1)img 的 src 属性;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果,其中一个条件没有满足,那么就是跨域了;(1)协议要相同:HTTP、HTTPS;(2)link 的 href 属性;(3)script 的 src 属性;三种处理跨域的方式,标签跨域特性进行数据跨域访问的,,要具体的域名,不要使用。
什么是同源策略?如何解决跨域问题?
qq_40947819的博客
12-02 454
什么是同源? 同协议 同域名 同端口 例如:http://a.xyz.com:81/dir/etc.html 协议-http 域名-xyz 端口-81 (如果不写默认就是80) 同源策略是什么? 同源策略是浏览器的一个安全功能,同源策略用于隔离潜在恶意文件的重要安全机制。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 哪些不会受到同源策略限制的影响? 页面中的链接,重定向以及表单提交是不会
什么是跨域?什么是同源策略?如何解决Ajax跨域问题?什么是JSONP?JSONP怎么请求数据?什么是Proxy?Proxy怎么请求数据?
chuxialia的博客
08-01 718
什么是跨域?什么是同源策略?如何解决Ajax跨域问题?什么是JSONP?JSONP怎么请求数据?什么是Proxy?Proxy怎么请求数据?
什么是同源策略?以及如何进行跨域访问?
weixin_45375510的博客
09-30 647
同源策略以及跨域 (1)同源策略?作用? 同源策略是一种约定,在浏览器tab页执行一个脚本的时候,会检查这个脚本属于哪个页面,即检查是否同源。同源是指协议、域名、端口号都相同。如果同源才会执行这个脚本;否则在请求数据时,浏览器会在控制台报一个异常,提示拒绝访问。 同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但无法被浏览器接收。 (2)跨域 由于同源策略,不是同源的脚本不能执行其他源下的对象。
什么是同源策略,其作用及跨域的常用解决办法
大剑师兰特的GIS世界
03-05 710
同源策略(Same Origin Policy,SOP)是一种重要的网络安全机制,是由Netscape公司在1995年引入浏览器的一种安全功能,它要求网页在执行某些操作时,如使用XMLHttpRequest或Fetch API进行网络请求,或者尝试访问cookies、LocalStorage、IndexedDB等资源时,必须遵循“同源”原则。所谓“同源”,指的是协议、域名和端口号三者完全一致。同源策略是浏览器中用于保护用户数据不被未授权访问的重要安全机制,它在保障安全性的同时也带来了一定的开发挑战。
同源策略是什么?为什么会有同源策略
weixin_38358629的博客
10-09 4585
协议、域名以及端口号相同就为同源,是由Netscape提出的一个著名的安全策略。 策略主要限制js的能力 1.无法读取非同源的 cookie、Storage、indexDB的内容 2.无法读取非同源的DOM 3.无法发送非同源的AJAX,更加准确的说应该是发送了请求但被浏览器拦截了,也就是说浏览器会拦截非同源的请求。 为什么会有同源策略?简单来说是为了安全 1.为了防止恶意网页可以获取其他网站的本地数据。 2.为了防止恶意网站iframe其他网站的时候,获取数据。 3.为了防止恶意网站在
什么是同源策略,什么是跨域,如何解决跨域
weixin_43996260的博客
04-01 5983
1.什么是同源策略同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。 源就是协议、域名和端口号。 协议:http,https 域名:区域的名字,每个域名都对应一个IP地址,
同源策略是什么?作用是什么,三要素,跨域解决方法
白帽黑客佳哥的博客
12-12 2994
同源策略是Web安全的一个基本概念,它由浏览器实施,用来限制一个源(origin)的文档或脚本如何与另一个源的资源进行交互。它是一个关键的安全措施,用于隔离潜在恶意文件,防止恶意网站窃取数据。
什么是同源策略?如何检测跨站点 WebSocket 劫持漏洞?post 表单跳转跨域问题、Ajax跨域请求、浏览器特性和安全策略、WebSocket 协议连接
代码讲故事
03-04 597
什么是同源策略?如何检测跨站点 WebSocket 劫持漏洞?post 表单跳转跨域问题、Ajax跨域请求、浏览器特性和安全策略、WebSocket 协议连接。
什么是同源策略及解决跨域的三种方式
m0_65849649的博客
03-30 272
同源策略 1.1.1 所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 {1} 比如一个web应用,用户访问的页面,处理页面的请求的controller都是在同一个context
什么是同源策略?什么是跨域?如何去解决跨域问题?CORS和JSONP的使用方法
weixin_48082725的博客
07-22 2786
什么是同源策略
最新总结 什么是同源策略,CORS 跨域资源共享解决前端跨域问题
SmileLife123的博客
09-19 136
同源策略是浏览器的一种安全策略,所谓同源是指域名,协议,端口相同。出于安全考虑,浏览器只允许与同源的服务器进行交互,否则就会产生跨域,浏览器控制台就会抛出异常。上面讲到不同源就会报错,那怎么与不同源的服务器进行交互呢?接下来CORS就要登场了。CORS 是一个W3C标准 全称为 “跨域资源共享”(Cross-origin resource sharing),它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求。
同源策略以及CORS跨域资源共享
Allurewuhui的博客
03-28 1546
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、域名相同、端口相同。 3.只要以上三点有一点不满足,就会产生跨域,解决跨域常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
Vue2 中对数组进行操作时需要注意什么
m0_73882020的博客
09-06 453
在 Vue 2 中,对数组进行操作时,关键是确保操作能够被 Vue 的响应式系统检测到。使用 Vue 的响应式 API,如Vue.set或this.$set,可以确保数组的变化会被正确地反映到视图中。此外,避免直接修改数组的length属性或使用数组索引直接赋值,以确保视图的响应性。
WHAT - React 函数与 useMemo vs useCallback
weixin_58540586的博客
09-03 908
目录介绍`useMemo` 与 `useCallback` 的区别示例代码`useMemo` 示例`useCallback` 示例总结 介绍 在 React 中,useMemo 和 useCallback 是两个用于性能优化的钩子,尽管它们有些相似,但各自有不同的用途和应用场景。理解它们的区别和适用情况可以帮助你更有效地管理组件的性能和状态。 useMemo 与 useCallback 的区别 useMemo: 目的: 用于记忆化(缓存)计算结果。它接受一个计算函数和依赖项数组,只有当依赖项发生变化时
web开发
2301_76876837的博客
09-04 401
我们在访问的网站的时候,一般就是在浏览器的网址栏里输入,再敲个回车,我们就可以访问到我们想要的网站(比如京东)。这是为什么呢?我们访问的浏览器是一个程序,京东也是一个程序,只是京东在人家电脑上运行着,我们只是远程访问了人家的前端页面。我们根据下图来讲解一下web网站的工作流程:我们在浏览器输入我们想要查找的域名,回车(搜索)后,会到,前端服务器接受到请求后会把相对应的前端代码返回给浏览器,浏览器会自动解析前端代码(因为内置了解析引擎),展示出页面效果。前端代码里由一句代码会是访问。
使用Selenium WebDriver来检测网页上的坏链接
最新发布
C'mon的博客
09-07 549
坏链接是指那些不可达的链接或URL,它们可能是由于某些服务器错误而导致无法访问。一个URL通常会有一个有效的状态码2xx。对于无效的请求,HTTP状态码是4xx(客户端错误)或5xx(服务器端错误)。我们通常需要点击链接来确认它是否工作,否则很难确定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值