同源策略及解决办法

最新推荐文章于 2024-07-29 08:40:47 发布
最新推荐文章于 2024-07-29 08:40:47 发布
阅读量1w 收藏 24
点赞数 3
分类专栏: 【总结】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010066934/article/details/72403745
版权

同源策略

一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。

背景

这里写图片描述

如上图所示:

用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。

含义:

同源策略需要同时满足以下三点要求:

1)协议相同
2)域名相同
3)端口相同

Tips:
http:www.test.com与https:www.test.com 不同源——协议不同
http:www.test.com与http:www.admin.com 不同源——域名不同
http:www.test.com与http:www.test.com:8081 不同源——端口不同

只要不满足其中任意一个要求,就不符合同源策略,就会出现“跨域”。
最常见的形式是使用ajax请求数据。

解决办法

1、postMessage

html5引入了一个跨文档通信的API,这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。

Tips:该方法只解决了前端两个窗口的通信,但无法解决前后台调用的跨域问题。

2、jsonp

网页通过添加一个script元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来

Tips: 简单好用,服务器改动小。

3、CORS

Cross-Origin Resource Sharing 跨资源分享,作为W3C的标准,是跨域ajax的根本解决方法,允许任何类型的请求。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

同时满足以下两个条件,即为简单请求。

1) 请求方法是以下三种方法之一:
HEAD
GET
POST

2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)。

“预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

在方法被调用前加拦截器,就可以清楚的看到预检请求。比如一个post请求,他会发送两个请求,一个options,一个post。

示例:

在springboot项目中,我们在后端添加如下配置:

@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

响应头和请求头信息

这里写图片描述

Access-Control-Allow-Origin字段,表示其值(如:http://www.baidu.com)可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。如上图所示。

yysx
关注
专栏目录
什么是同源策略解决跨域的三种方式
m0_65849649的博客
03-30 276
同源策略 1.1.1 所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 {1} 比如一个web应用,用户访问的页面,处理页面的请求的controller都是在同一个context
同源策略解决跨域以及Axios封装
China_11111的博客
04-01 436
同源策略 所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 1、比如一个web应用,用户访问的页面,处理页面的请求的controller都是在同一个contextPath下的,无
同源策略
samueli的专栏
08-08 117
概念:       同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。       这里的同源指的是:同协议,同域名和同端口。 精髓:       它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的...
同源策略解决方法
weixin_45827423的博客
08-29 1642
同源策略(same origin policy),一种安全策略,用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。浏览器默认两个不同的源之间是可以互相访问资源和操作 DOM 的。两个不同的源之间若是想要访问资源或者操作 DOM,就会受到同源策略的制约。
浏览器同源策略详解、主流的跨域解决方案、深入理解跨域请求概念及其根因
热门推荐
liangzhenmeng的博客
07-29 6万+
跨域问题其实就是浏览器的同源策略造成的。同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要的安全机制。协议端口号域名必须一致。下表给出了与 URLURL是否跨域原因同源完全相同同源只有路径不同跨域协议不同跨域端口不同 ( http:// 默认端口是80)跨域主机不同同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致。
跨域
wang_zhao_的博客
12-03 869
跨域同源政策限制范围举例demo1demo2Cookieiframe1 片段识别符2 window.name3 window.postMessage4 LocalStorageAJAXJSONPWebSocketCORS**简单请求的处理方式****非简单请求的处理方式** 同源政策        一个源的定义 如果两个页面的...
前端必备HTTP技能之同源策略详解
Catie
09-09 935
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
Django使用中间件解决前后端同源策略问题
09-18
在这个案例中,使用Angular作为前端框架与Django后端进行通信时,遇到的同源策略限制及解决方法为: 1. 创建一个Django中间件,负责向响应中添加CORS相关头部。 2. 确保中间件能够处理预检请求(`OPTIONS`方法的请求...
js同源策略详解
10-24
为了绕过同源策略,人们想出了各种办法,比如JSON和动态脚本标记的使用。利用动态脚本标记插入的元素是不受同源策略限制的,因此可以通过它来加载来自其他域的内容。此外,还可以使用Ajax代理服务器来实现跨域请求,...
同源策略及其解决方案
weixin_33725515的博客
03-20 694
“同源政策”是浏览器安全的基石,其设计目的是为了保证信息安全,防止恶意的网站窃取数据。所谓“同源”必须满足以下三个方面: 协议相同 域名相同 端口相同(默认端口是80,可以省略) 如果是非同源的,以下行为会受到限制: Cookie、LocalStorage和IndexDB无法读取 DOM无法获取 AJAX请求不能发送 接下来我们主要讲解如何解决以上三个方面的问题。 一、Cookie Coo...
同源策略与跨域的解决方案
失眠时间的博客
05-12 2751
总所周知,同源策略是导致跨域的原因,那么什么是同源策略,又可以如何解决跨域的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何跨域问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
什么是同源策略
weixin_30345055的博客
03-05 98
所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。 看下面的比较就一目了然了: URL1URL2说明是否允许通信 http://www.foo.com/js/a.js http://...
tomcat的同源策略怎么解决
最新发布
09-11
Tomcat的同源策略指的是为了安全起见,不同域的资源不能互相访问,这是由Web浏览器实施的一种安全策略。然而,在开发过程中,我们可能需要绕过这个策略以测试和运行跨域请求。在Tomcat中,你可以通过配置CORS(跨源资源共享)来解决这个问题。 以下是如何在Tomcat中配置CORS的步骤: 1. 修改`web.xml`文件:在你的web应用的`WEB-INF`目录下的`web.xml`文件中添加以下filter配置和filter-mapping配置。 ```xml <filter> <filter-name>CorsFilter</filter-name> <filter-class>org.apache.catalina.filters.CorsFilter</filter-class> <init-param> <param-name>cors.allowed.origins</param-name> <param-value>*</param-value> </init-param> <init-param> <param-name>cors.allowed.methods</param-name> <param-value>GET,POST,HEAD,OPTIONS,PUT,DELETE</param-value> </init-param> <init-param> <param-name>cors.allowed.headers</param-name> <param-value>Content-Type,X-Requested-With,accept,Authorization</param-value> </init-param> <init-param> <param-name>cors.exposed.headers</param-name> <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value> </init-param> <init-param> <param-name>cors.support.credentials</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>cors.preflight.maxage</param-name> <param-value>10</param-value> </init-param> </filter> <filter-mapping> <filter-name>CorsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 2. 通过注解的方式:如果你使用的是Servlet 3.0或更高版本,可以在你的Servlet或者Filter类上使用`@CrossOrigin`注解来启用跨源请求。 ```java @CrossOrigin(origins = "*", maxAge = 3600) public class MyResource { // ... } ``` 3. 修改server.xml配置:在Tomcat的`conf`目录下的`server.xml`文件中,可以为特定的Host或Context添加Context参数来允许跨域访问。 ```xml <Context docBase="yourapp" path="/yourapp" ...> <Parameter name="cors.allowed.origins" value="*, http://example.com" override="false"/> ... </Context> ``` 请注意,以上方法中设置`cors.allowed.origins`为`*`将允许所有域的请求,这在生产环境中是不推荐的,因为它可能会导致安全问题。在生产环境中,应该指定具体的域。 在进行配置时,请确保了解你所允许的跨域请求的来源和方法,以避免潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值