面试-跨域

最新推荐文章于 2024-01-11 14:51:31 发布
最新推荐文章于 2024-01-11 14:51:31 发布
阅读量139 收藏 1
点赞数
分类专栏: 面试 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012570307/article/details/107928257
版权

这里写自定义目录标题

1.什么是跨域?

跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。

同源策略限制了以下行为:
1.Cookie、LocalStorage 和 IndexDB 无法读取
2.DOM 和 JS 对象无法获取
3.Ajax请求发送不出去

2.什么是同源策略?

所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

http://www.nealyang.cn/index.html 调用   http://www.nealyang.cn/server.php  非跨域

http://www.nealyang.cn/index.html 调用   http://www.neal.cn/server.php  跨域,主域不同

http://abc.nealyang.cn/index.html 调用   http://def.neal.cn/server.php  跨域,子域名不同

http://www.nealyang.cn:8080/index.html 调用   http://www.nealyang.cn/server.php  跨域,端口不同

https://www.nealyang.cn/index.html 调用   http://www.nealyang.cn/server.php  跨域,协议不同

localhost   调用 127.0.0.1 跨域

它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。

3.如何解决跨域?

能说1,2,3,4就行。

1、 通过jsonp跨域

jsonp跨域其实也是JavaScript设计模式中的一种代理模式。在html页面中通过相应的标签从不同域名下加载静态资源文件是被浏览器允许的,所以我们可以通过这个“犯罪漏洞”来进行跨域。

原理:动态的创建script标签,再去请求一个带参网址来实现跨域通信

1.原生的实现方式

let script = document.createElement('script');

script.src = 'http://www.nealyang.cn/login?username=Nealyang&callback=callback';

document.body.appendChild(script);

function callback(res) {
  console.log(res);
}

2.jquery的实现方式

$.ajax({
    url:'http://www.nealyang.cn/login',
    type:'GET',
    dataType:'jsonp',//请求方式为jsonp
    jsonpCallback:'callback',
    data:{
        "username":"Nealyang"
    }
})

缺陷:只能够实现get请求

2、跨域资源共享 CORS

参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2016/04/cors.html
2.1 简介
CORS是一个W3C标准,全称是“跨域资源共享”(Cross-origin resource sharing)。CORS允许浏览器向跨源服务器发出XMLHttpRequest请求,以克服AJAX只能基于同源策略的使用限制。

CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

2.2 两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:
	HEAD
	GET
	POST
(2)HTTP的头信息不超出以下几种字段:
	Accept
	Accept-Language
	Content-Language
	Last-Event-ID
	Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

这是为了兼容表单(form),因为历史上表单一直可以发出跨域请求。AJAX 的跨域设计就是,只要表单可以发,AJAX 就可以直接发。

凡是不同时满足上面两个条件,就属于非简单请求。

浏览器对这两种请求的处理,是不一样的。

由于篇幅原因,cors后面的东西,大家直接看阮一峰老师的详细介绍

3、 nginx代理跨域

4、 nodejs中间件代理跨域

node中间件实现跨域代理,是通过启一个代理服务器,实现数据的转发,也可以通过设置cookieDomainRewrite参数修改响应头中cookie中域名,实现当前域的cookie写入,方便接口登录认证。

利用node + express + http-proxy-middleware搭建一个proxy服务器

前端代码

var xhr = new XMLHttpRequest();

// 前端开关:浏览器是否读写cookie
xhr.withCredentials = true;

// 访问http-proxy-middleware代理服务器
xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);
xhr.send();

后端代码

var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();

app.use('/', proxy({
    // 代理跨域目标接口
    target: 'http://www.domain2.com:8080',
    changeOrigin: true,

    // 修改响应头信息,实现跨域并允许带cookie
    onProxyRes: function(proxyRes, req, res) {
        res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
        res.header('Access-Control-Allow-Credentials', 'true');
    },

    // 修改响应信息中的cookie域名
    cookieDomainRewrite: 'www.domain1.com'  // 可以为false,表示不修改
}));

app.listen(3000);
console.log('Proxy server is listen at port 3000...');

5、 document.domain + iframe跨域

6、 location.hash + iframe

7、 window.name + iframe跨域

8、 postMessage跨域

9、 WebSocket协议跨域

人生一串儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试题之vue跨域
heima201907的博客
05-27 938
Vue中的跨域解决方案什么是跨域跨域指浏览器不允许当前页面的所在的源去请求另一个源的数据。源指协议,端口,域名。只要这个3个中有一个不同就是跨域 [JavaScript]纯文本查看复制代码 ? 1 2 3 4 5 6 # 协议跨域 http://a.baidu.com访问https://a.baidu.com; # 端口跨域 http://a.baidu.com:8080访问http:/...
Frame-24-CSRF
Morgan的python再造
03-30 122
1.DRF (1) APIView流程 (2) 序列化组件 serizer=序列化类(queryset,many=True) serizer=序列化类(model_obj,many=Flase) serizer.data # [{},{}] {} serizer.error serizer.is_valid() serizer.save() (3) 视图 1 独立写逻辑 2 mixin混合...
面试 -跨域
weixin_43735651的博客
06-27 187
浏览器跨域
跨域问题(前端面试最常问)
热门推荐
山鬼谣弋痕夕的博客
08-11 1万+
https://blog.csdn.net/as645788/article/details/51285688 为什么要跨域跨域问题是浏览器同源策略限制,当前域名的js只能读取同域下的窗口属性。  一个网站的网址组成包括协议名,子域名,主域名,端口号。比如https://www.github.com/80 其中https是协议名,www.github.com是子域名,github.com...
前端面试-v21
08-03
- `cookies`:可以跨域,但存储量有限。 13. **GET与POST的区别** - GET:请求参数在URL中可见,一般用于获取资源,不安全,有长度限制。 - POST:请求参数在请求体中,用于提交数据,更安全,允许更大的数据量...
前端面试必备之同源和跨域详解
09-22
跨域是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同域上(即域名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源和跨域的相关资料,文中通过示例代码...
java面试-中级篇
03-20
缺点:SEO困难,跨域限制,可能导致更多请求。 - JSON优点:简洁、易读、解析快速。缺点:仅支持有限的数据类型。 5. **JavaScript中的特殊值**: - `undefined`表示变量未定义或赋值,`typeof a`会返回...
前端大厂最新面试题-alibaba.docx
06-06
面试中,考察跨域请求的实现方法,如 JSONP、CORS、postMessage 等。 XSS 和 CSRF 防御 XSS(Cross-Site Scripting)和 CSRF(Cross-Site Request Forgery)是两种常见的 web 攻击方式。在面试中,考察 XSS 和 ...
前端大厂最新面试题-cors.docx
06-06
跨域原理与解决方案】 跨域是前端开发者在开发过程中经常遇到的问题,它是由浏览器的同源策略引发的。同源策略是一种基本的安全机制,它规定只有来自同一协议、主机和端口的网页才能互相访问资源。如果这三个要素...
面试必问之什么是跨域?以及跨域解决方法
最新发布
qq_56352725的博客
01-11 1258
同源策略要求协议、域名、端口完全相同才能进行交互,若任何一个不同,就会被视为跨域。当前页面URL被请求页面的URL是否产生跨域原因否同源(协议、域名、端口相同)跨域协议不同跨域域名不同跨域端口号不同谈谈你对跨域的理解,如何解决跨域问题?跨域是指在不同的页面之间进行数据传输或通信产生的,严格一点说:只要 协议,域名,端口有任何一个的不同,就当作是跨域跨域是浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。这是为了防止恶意脚本获取用户的敏感信息或进行其他攻击。what。
转载 跨域问题处理
西北的博客
12-31 335
转载:https://blog.csdn.net/qq_38128179/article/details/84956552 一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同...
前端面试常见问题之跨域
Crystal的博客
03-19 1300
各路大神多多指教!!!
面试回答跨域问题
Ych_cxy的博客
12-26 582
端工程师面试中,经常遇到有关‘跨域’的面试题。‘跨域’是作为一个前端工程师无法避开的问题。那么,我们看看面试官怎么问(什么是跨域?谈谈你对跨域的理解?什么导致了跨域?你解决过跨域问题吗?你在工作中怎么解决跨域跨域解决方案有哪些,了解过哪些?前后端分离,你有遇到跨域问题吗?...那么,带着这些问题,我们来分析一下,如何回答)=====================================...
面试官必问--跨域问题
weixin_45743297的博客
02-05 1292
疫情严重,视频面试面试官问了阿风一个问题:“可以给我们讲一下你了解的跨域问题吗?” 阿风当然不晓得.深知自己技术水平的浅薄,于是借鉴了各方大佬的文章来理解这个狗屁膏药—>跨域问题. 同源策略 在前端开发过程中,常见的HTML标签,如<a/>,<form/>,<img/>,<script/>,<iframe/>以及ajax操作都可以...
跨域----面试简单回答
weixin_42139781的博客
12-30 261
面试官: 能不能说一下你对跨域的理解吗? 我: 能, 首先呢,跨域的定义是: ajax请求的地址与当前地址不同源就称为跨域, 其次:跨域一般出现需要请求其他服务器的数据的时候, 使用场景有银行付钱 下面是跨域的详细讲解: 1.产生跨域的原因: 浏览器存在同源策略 1.1 同源策略是什么: 协议名 端口号 主机名一致 ...
经典面试题目之:跨域
yangyanqin2545的博客
04-26 821
跨域 1、什么事跨域跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 2、为什么限制跨域访问 ​ 如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。 3、跨域处理方式 (1)利用script标签请求 使用script标签请求前,先进行回调函数的申明调用 <script> fun
前端面试准备——关于跨域
weixin_45721030的博客
03-07 449
9种前端跨域解决办法个人总结吸收——来自大佬的稿子9种常见的前端跨域解决方案(详解)_慕课手记 1.关于JSONP跨域 jsonp的核心原理就是 “目标页面回调本地页面”,即通过<script>标签的src属性,发送带有callback参数的get请求,服务器端将接口返回数据拼凑到callback函数中,并返回给浏览器,这样浏览器前端就可以拿到callback函数返回的数据了;但缺点是只能发送get一种请求。 a.原生js实现 b.jquery Ajax实...
跨域问题面试回答
weixin_45905700的博客
04-22 108
cors:服务器端配置,不用前端配置(真正意义上的解决跨域) jsonp:利用script标签的src属性不受同源策略限制的特点,但只能解决get请求,需前后端配合 代理服务器:与前端页面同源,由他返回的数据就不存在跨域的问题,如图。 (备注:代理服务器与服务器之间是非同源,但不存在跨域问题,是因为服务器之间采用的是http请求,而不是ajax技术) 作者:zwtzzwwtt ...
前端面试深度解析:定位机制与跨域解决方案
面试题还特别提到了跨域问题的解决方案——JSONP及其优缺点,以及CORS的原理和应用。" 在前端面试中,面试官通常会从多个角度考察候选人的能力和潜力。例如,自我介绍不仅需要提供基本的个人信息,还要突出个人的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值