跨域和同源详解

已于 2022-06-01 09:49:54 修改
阅读量2.4k 收藏 2
点赞数 4
分类专栏: node.js 文章标签: node.js 前端 服务器
于 2022-04-05 11:42:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sky89299/article/details/123965459
版权

跨域

同源策略

  • 开发过程中主要遇到的同源问题,主要是比较两个url是否同源。

判断条件

  1. 协议是否相同(http、https、file)
  2. 主机地址是否相同(www.xxx.com 127.0.0.1)
  3. 端口(0~65535)http默认的端口号是80(可以省略),https默认端口是443 , MySQL默认的端口是3306

如果两个url协议、主机地址、端口都相同,那么这两个url是同源,否则就是非同源

非同源受到限制:

  • Cookie无法操作
  • DOM无法操作
  • Ajax请求无效(请求可以发送,服务器也会处理这次请求,但是响应结果会被浏览器拦截)

违反了同源策略的请求,叫做跨域请求

跨域解决

  1. 解决的方法有很多种,和大家讲下主流的两种把:分别是JSONP和CPRS

CORS方案

CPRS:通过服务器设置响应头来实现跨域,比较符合解决跨域的真正问题

JSONP

JSONP:

  1. JSONP方案只支持GET请求
  2. JSONP方案和AJAX没有任何关系
  3. JSONP任何浏览器都支持,兼容性好

原理:

  • 客户端利用 script 标签的 src 属性,去请求一个接口,因为src属性不受跨域影响。

  • 服务端响应一个字符串

  • 客户端接收到字符串,然后把它当做JS代码运行。

后端接口代码:

app.get('/api/jsonp', (req, res) => {
  // res.send('hello');
  // res.send('console.log(1234)');
  // res.send('abc()')
  // res.send('abc(12345)')

  // 接收客户端的函数名
  let fn = req.query.callback;
  let obj = { status: 0, message: '登录成功' };
  let str = JSON.stringify(obj);
  res.send(fn + `(${str})`);
});

前端代码:

<script>
  // 提前准备好一个函数
  function xxx(res) {
    console.log(res)
  }

</script>

<script src="http://localhost:3006/api/jsonp?callback=xxx"></script>
  • 前端需要做什么?
    • 如果使用jQuery,$.ajax({ dataType: ‘jsonp’ }),必须指定dataType选项为jsonp即可
  • 后端需要做什么?
    • 如果使用express,那么直接调用 res.jsonp(数据) 即可。
前端楠戈
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源
是阿瑶的博客呀~
10-11 406
一. 同源策略 1.什么是同源 如果两个页面,协议,名,端口都一致,则为同源 例如: 2.什么是同源策略 同源策略(Same origin policy)是浏览器提供的一个安全功能 官方概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制. 通俗理解就是浏览器规定,A网站的JavaScript,不允许和非同源的网站B之间进行资源的交互. 例如: ① 无法读取非同源网页的 Cookie、LocalStorage 和.
同源?一次搞懂什么是
leoyongyuan的博客
07-01 1179
其实在我们用ajax传输数据时,很多时候都是在做请求,如果没租过服务器的小伙伴可能没去捣鼓过这东西是什么。其实在我们前后端数据交互非常常见,但是现在的模块化时代,一般我们不怎么会接触到问题,因为很多事API已经帮我们解决了。接下来我就给大家好好捋清是怎么回事。在先介绍之前我觉得必须先普及同源策略的概念。 什么是同源? 如果两个页面的协议,名和端口都相同,则两个页面具有相同的源。 例如,下表给出了相对于http://www.test com/index.html页面的同源检测: 为了防
同源策略和解决方案——JSONP、CORS、代理(vue-cli脚手架搭建代理服务器)
m0_55734628的博客
08-29 2522
在简单请求中,只要满足简单请求的要求,一般情况下,是不怎么需要服务端去进行配置的,除了Access-Control-Allow-Origin这个字段是必备的OPTIONS请求作为预检请求,就算请求方法没有在Access-Control-Allow-Methods规定范围内也不会出现错误,但是我们不能自己发送OPTIONS请求CORS设置涉及到后端和前端的配合。后端通过设置响应头来允许特定的请求,而前端则需要确保请求头中包含适当的信息。这样可以保障安全地进行资源访问参考文档:MDN。
介绍什么是同源和什么是,以及三种解决问题的路径
yupyuping的博客
11-16 2971
什么是同源?什么是? 客户端向服务器发送请求的时候,如果协议,名(IP)和端口都一样,则称为同源,但凡有一个不一样则请求默认受到浏览器的安全策略的限制,浏览器会给出相应的错误信息,对于客户端而言意味着请求失败 同源是浏览器的行为--浏览器安全机制 请求要么同源要么:不同源 所谓同源就是指请求的源和对应的响应服务器:协议一致,IP(名)一致,端口一致 影响范围 ajax 请求数据会受到影响,但是 html 代码中,二次请求文件,...
同源问题及解决方案
fujiaxu666的博客
11-20 5473
同源策略(same origin policy) 浏览器的同源策略 - Web 安全 | MDN (mozilla.org) 浏览器同源政策及其规避方法 - 阮一峰的网络日志 (ruanyifeng.com) 资源共享 CORS 详解 - 阮一峰的网络日志 (ruanyifeng.com) 同源策略规定了不同 不能获取Cookie、LocalStorage 和 IndexDB 无法读取。 对于cookie来说可以使用 document.domain 来允许子安全访问其父时,您需要在父和子中设
同源策略与的解决方案
失眠时间的博客
05-12 1938
总所周知,同源策略是导致的原因,那么什么是同源策略,又可以如何解决的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
同源策略与
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
Ajax同源策略以及如何解决请求
SH744的博客
05-30 1383
请求
同源 and
最新发布
thace的博客
10-16 263
这可以说是最常见的方式,在javascript中,像是script、img、iframe等标签是不受同源策略的限制,我们可以定义标签中的src属性值为后端api接口的地址,并且以 get 的方式将前端回调处理函数名称告诉后端,后端在响应请求时会将回调返还,并且将数据以参数的形式传递回去。显然,同源策略是非常重要的。同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。
同源的概念与实现的几种方案
好好睡觉
01-10 1165
同源政策、同源策略、方法、iframe方法、postmessage、window.name、片段识别符、JSONP
同源限制及解决方案
weixin_40252368的博客
12-08 1342
这里写自定义目录标题什么是同源?新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是同源? 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇
学习AJAX必知必会(5)~同源策略、解决问题(JSONP、CORS)
伟庭师兄的博客
09-07 83
点击发送ajax请求xhr.send();
关于同源问题,以及解决方法(八种)
MrLee的博客
06-26 7193
一,什么是 就是名,端口,协议 例如:如果有两个服务器,服务器A和服务器B,服务器A上存储了php数据,script,甚至是css这些文件,而你在服务器B上只写了html,然后你所在的服务器B上动态创建script,css,php数据(使用ajax请求),向服务器A上请求你想要的script,css,php数请求据(使用ajax)这些文件,请求这些文件后,你再在服务器B上运行你的ht...
【网络基础】初级前端需要掌握知识,什么是同源策略与,如何解决问题
庞囧的博客
04-24 435
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。请求其实是非常常见的,比如一些网站下面有很多子,同是一家人还不能访问就很离谱,于是出现了很多解决问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
什么是同源(CORS),如何解决;配置代理
qq_46302247的博客
03-01 1691
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为
JavaScript框架篇——SessionStorage和LocalStorage
weixin_45273807的博客
08-13 263
1.什么是SessionStorage和LocalStorage 和Cookie一样, SessionStorage和LocalStorage也是用于存储网页中的数据的 2.Cookie、 SessionStorage、LocalStorage区别 2.1生命周期(同一浏览器下) Cookie生命周期: 默认是关闭浏览器后失效, 但是也可以设置过期时间 SessionStorage...
同源访问策略和问题
m0_63070387的博客
01-15 385
关于同源访问策略和问题
JS详解与解决方案
JS是指JavaScript尝试访问与当前页面不同源(协议、名或端口)的资源时遇到的一种安全限制,这是由浏览器的同源策略所实施的。同源策略是一种重要的安全机制,它限制了不同源之间的交互,防止恶意脚本获取或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值