跨域解释和常见的跨域解决办法

最新推荐文章于 2022-08-14 18:41:58 发布
最新推荐文章于 2022-08-14 18:41:58 发布
阅读量216 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/user2025/article/details/106955174
版权

在这里插入图片描述
浏览器同源策略:浏览器最核心也是最基本的安全功能,根据这个策略,a.com域名下的JavaScript无法跨域操作b.com域名下的对象。比如,baidu.com域名下的页面中包含的JavaScript代码,不能访问google.com域名下的页面内容。
同源指的是同协议、同域名和同端口
常见的跨域解决办法
(1)JSONP
<javaScript>标签src属性可以进行跨域请求,跨域请求的JS脚本代码可以调用当前域的某个函数,功能函数中的ajax请求既可请求与另一脚本同域的资源。因此可以根据需要生成<javaScript>标签,动态调用需要的函数,从而实现跨域
(2)跨域资源共享:CROS
参考文章:http://www.ruanyifeng.com/blog/2016/04/cors.html
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器,只要服务器实现了CORS接口,就可以跨源通信。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)
简单请求

(1) 请求方法是以下三种方法之一:HEAD、GET、POST
(2)HTTP的头信息不超出以下几种字段:
Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type
其中Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求,浏览器直接发出CORS请求,就是在http请求头信息中增加一个Origin字段,用来表示本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

  • 如果Origin指定的源,不在许可范围内: 服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin,就知道origin指定的源不可以访问
  • 如果Origin指定的源,在许可范围内: 服务器返回的响应,会多出几个头信息字段,都以Access-Control-开头
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar

(1)Access-Control-Allow-Origin
该字段是必须的。它的值要么是请求时Origin字段的值【Origin是请求时的属性】,要么是一个*,表示同意任意跨源请求。
(2)Access-Control-Allow-Credentials
该字段是可选的。它的值是一个布尔值,表示是否允许发送Cookie。
默认情况下,CORS请求默认不发送Cookie和HTTP认证信息。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
(3)Access-Control-Expose-Headers
该字段是可选的。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
非简单请求
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

(1)预检请求

  • 预检请求用的请求方法是OPTIONS,表示这个请求是用来询问的。请求头中多了3个头信息字段:
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header

Access-Control-Request-Method:这个字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法
Access-Control-Request-Headers:指定浏览器CORS请求会额外发送的头信息字段
(2)预检请求的响应

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

Access-Control-Max-Age用来指定本次预检请求的有效期,单位为秒,在此期间,不用发出另一条预检请求。

user2025
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javascript 跨域问题以及解决办法
10-19
主要介绍了javascript 跨域问题以及解决办法的相关资料,需要的朋友可以参考下
webpack开发跨域问题解决办法
08-29
webpack 跨域问题解决办法 在前端开发中,跨域问题是一个常见的问题,尤其是在使用 webpack 进行开发时。跨域问题的出现是由于浏览器的同源策略所致,即浏览器只允许从同一个域名下的资源进行请求。那么,在使用 ...
跨域的精辟解释
一键写代码的博客
06-13 415
不要再问我跨域的问题了
简单理解一下什么是跨域
qq_45591403的博客
08-22 456
1. 什么是跨域? 因为浏览器有同源策略,是判断一个浏览器是否合格的最基本的标准 什么是同源? 是浏览器通过这个策略,将不同的网站分类(隔离),就确保了信息的安全。你想一想要是没有这个东西,我们是不是可以随便请求淘宝接口,甚至给post一些信息到它们接口上,可能就乱套了 所以它是很必要的,我们再来明确一个概念,需要达到3个条件,相同协议,相同域名,相同端口,才能通讯。 项目 Value 是否允许通讯 http://www.A.com 和https://www.A 不同协议
跨域
weixin_39504668的博客
09-20 164
名词解释: 跨域:  浏览器对于javascript的同源策略的限制,例如a.cn下面的js不能调用b.cn中的js的对象或数据(因为a.cn和b.cn是不同域),所以跨域就出现了。 上面提到的, 同域的概念又是什么呢?   简单的解释就是相同域名、相同端口、相同协议   同源策略: 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名、端口、协议相同. 比如:我在本地...
解决跨域问题的几种办法
c1098210432的博客
03-15 3230
第一种: 用 Flash 来跨域。第二种: 服务器代理中转 (目前用的还比较多)比方有两台服务器   X服务器   Y服务器  ---  Y服务器没有我们想要的资源,而X有Y服务器没有用户想要的数据时,将Y服务器链接到X服务器。等拿到X服务器的数据时,再返回给Y服务器,再继续返回给浏览器。这样在浏览器访问时,就可以拿到数据。      黑色是拿数据,绿色是返回的路径。你可以会有疑问? 不是有同源策...
关于跨域的理解
南风
07-24 1432
为什么会有跨域这个问题的出现呢? 这要谈到浏览器的同源策略了,同源策略限制了不同源之间的资源进行交互,用于隔离潜在的恶意文件的安全机制,并且是浏览器最基本的安全机制(同源:协议、域名、端口均相同,localhost和127.0.0.1也属于跨域)。 如果没有同源策略的限制,假设您进入一个银行网站A,输入了账号密码进行登录,服务器端验证通过后会在响应头中添加Set-Cookie字段,在下次访问时...
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
浏览器跨域获取Lrc歌词数据的解决办法
10-30
浏览器跨域获取Lrc歌词数据的解决办法
什么是跨域解决跨域常见方法
A20201130的博客
03-20 1359
一、浏览器同源政策 “同源”:协议相同、域名相同、端口相同 "同源的目的":只有在一个服务器上的文件才能互相交互,多个服务器之间的文件禁止 1995年,同源政策由Netscape公司引入浏览器,最初的目的是某页面所设置的cookie,只能由其“同源”页面打开。如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。 举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.examp
跨域简要理解
abstract_yt的博客
09-19 154
什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 所谓同源是指,域名,协议,端口均相同。只要有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作。 URL 原因 是否允许通信 http://h5.jd.com/dir/zepto.js 同源 允许 http://h5.jd.com/dir2...
跨域问题解释以及如何解决
方方园园的博客
01-11 350
什么是跨域? 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域就指着协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) Access-Control-Allow-Origin ...
跨域及jsonp
yc123h的博客
05-07 993
欢迎访文我的博客YangChen’s Blog昨天参加了网易的前端开发实习生面试,分为两次技术面试和一次HR面试,PS.网易的校招和面试效率还是挺高的。这两次技术面试都问到了跨域及jsonp的问题,所以呢就为此写一下吧,这也是前端开发中绕不过的一个重点。什么是跨域?要解释跨域,就要先说明下什么是域?域的英文名是Domain,百度百科给的定义是: 域(Domain)是Windows网络中独立运行的
什么是跨域
hammring的博客
08-22 1471
一、什么是跨域 当一个请求url的协议、域名(主域名、子域名)、端口三个之中任一个与页面的url不同,即可认为是跨域。 页面的url 请求的url 是否跨域 原因 http://www.book.com/ https://www.book.com/ 是 协议不同(http/https) http://www.book.com/ http://w...
解决跨域问题(详解9种方法
TongJ_的博客
08-14 8007
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。为了保证用户信息的安全性,防止恶意窃取当前网站的数据,禁止不同域直接与js代码交互。分布式项目:把后台放在一个服务器里,把前台放在一个服务器中,防止文件相互损坏,防止一个模块导致所有程序运行不起来,可以前后台同时开发,用来节省时间。...
访问本地服务里面的方法
黄俊东的专栏
09-16 1456
原理图: 步骤: 调用服务里面的方法: 1 设计一个接口:IStudentQueryService   Student queryStudent(int no); 2 在activity里面进行绑定操作:   bindService(intent,conn,flag); 3 写一个连接实现类:     private final class MyServiceConn
什么是跨域?如何解决
GSON的博客
11-01 3万+
一、什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要!!! 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域; 二、跨域访问示例 假设有两个网站,A网站部署在:.
什么是跨域?怎么解决跨域问题?
热门推荐
L瑜
06-15 27万+
什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com
记录一下跨域的问题。
w83761456的专栏
07-28 1231
跨域的理解与实现2010-05-25域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配
跨域问题产生的原因以及解决办法
最新发布
07-22
跨域问题是由于浏览器的同源策略导致的。同源策略是一种安全机制,它限制了不同源(域名、协议、端口)之间的交互。当页面中的脚本试图访问不同源的资源时,浏览器会阻止该请求。 解决跨域问题有多种方法,以下是几种常用的解决办法: 1. JSONP(JSON with Padding):JSONP是一种通过动态创建`<script>`标签来实现跨域请求的方法。服务器返回的响应会被包裹在一个函数调用中,客户端通过定义该函数来处理响应数据。 2. CORS(Cross-Origin Resource Sharing):CORS是一种通过服务器设置响应头来解决跨域问题的机制。服务器可以在响应中添加`Access-Control-Allow-Origin`等头部字段,指明允许访问的源。 3. 代理服务器:可以使用代理服务器来转发请求,绕过浏览器的同源策略。客户端发送请求到代理服务器,代理服务器再将请求发送到目标服务器,并将响应返回给客户端。 4. WebSocket:WebSocket协议支持跨域通信,可以通过建立WebSocket连接来实现跨域数据传输。 这些方法各有优缺点,选择合适的解决办法取决于具体的场景和需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值