跨域解决方案

最新推荐文章于 2023-05-15 17:34:42 发布
最新推荐文章于 2023-05-15 17:34:42 发布
阅读量418 收藏
点赞数
分类专栏: 学习笔记 ajax 文章标签: nginx websocket
原文链接:https://www.cnblogs.com/fundebug/p/10329202.html
版权

一、跨域问题

  1. 什么是跨域?
    跨域是浏览器对于javascript的同源策略的限制。同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,浏览器就很容易受到XSS、CSFR等攻击。同源是指“协议、域名、端口”三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
    在这里插入图片描述
    同源策略限制的内容包括:
  • Cookie、LocalStorage、IndexedDB 等存储性内容;
  • DOM 节点;
  • ajax 请求不能发送

但是以下几个标签允许跨域加载资源:

<img src=XXX>

<link href=XXX>

<script src=XXX>
  1. 常见跨域场景
    协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。常见跨域场景如下表所示:
    |跨域原因说明 |示例 |
    |–|--|
    | 域名不同 | www.jd.comwww.taobao.com|
    | 域名相同,端口不同 | www.jd.com:8080www.jd.com:8081 |
    | 同一域名,二级域名不同 | item.jd.commiaosha.jd.com |
    |域名相同,协议不同|http://www.a.comhttps://www.a.com|
    跨域不一定都会有跨域问题。因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。因此:跨域问题 是针对ajax的一种限制

二、跨域解决方案

  1. Jsonp
    (1)JSONP原理
    利用script标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的 JSON 数据。JSONP请求一定需要对方的服务器做支持才可以。
    (2)JSONP和AJAX对比
    JSONP和AJAX相同,都是客户端向服务器端发送请求,从服务器端获取数据的方式。但AJAX属于同源策略,JSONP属于非同源策略(跨域请求)
    (3)JSONP优缺点
    优点:简单兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点:只能发起GET请求,易遭受XSS攻击。
    (4)实现流程
  • 声明一个回调函数,其函数名(如show)当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)。
  • 创建一个script标签,把那个跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递该函数名(可以通过问号传参:?callback=show)。
  • 服务器接收到请求后,需要进行特殊的处理:把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如:传递进去的函数名是show,它准备好的数据是show(‘我不爱你’)。
  • 最后服务器把准备的数据通过HTTP协议返回给客户端,客户端再调用执行之前声明的回调函数(show),对返回的数据进行操作。
  1. CORS
    CORS是规范化的跨域请求解决方案,安全可靠。CORS 需要浏览器和后端同时支持。浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。
//1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域
        config.addAllowedOrigin("http://www.jd.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允许的头信息
        config.addAllowedHeader("*");
  1. postMessage
    postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一,它可用于解决以下方面的问题:

  • 页面和其打开的新窗口的数据传递

  • 多窗口之间消息传递

  • 页面与嵌套的iframe消息传递

  • 上面三个场景的跨域数据传递postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
    otherWindow.postMessage(message, targetOrigin, [transfer]);

  • message: 将要发送到其他 window 的数据。

  • targetOrigin:通过窗口的 origin 属性来指定哪些窗口能接收到消息事件,其值可以是字符串"*"(表示无限制)或者一个 URI。在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配 targetOrigin 提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会被发送。

  • transfer(可选):是一串和 message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方,而发送一方将不再保有所有权。

// a.html
  <iframe src="http://localhost:4000/b.html" frameborder="0" id="frame" onload="load()"></iframe//等它加载完触发一个事件
  //内嵌在http://localhost:3000/a.html
    <script>
      function load() {
        let frame = document.getElementById('frame')
        frame.contentWindow.postMessage('我爱你', 'http://localhost:4000') //发送数据
        window.onmessage = function(e) { //接受返回数据
          console.log(e.data) //我不爱你
        }
      }
    </script>

// b.html
  window.onmessage = function(e) {
    console.log(e.data) //我爱你
    e.source.postMessage('我不爱你', e.origin)
 }
  1. websocket
    Websocket是HTML5的一个持久化的协议,它实现了浏览器与服务器的全双工通信,同时也是跨域的一种解决方案。WebSocket和HTTP都是应用层协议,都基于 TCP 协议。但是 WebSocket 是一种双向通信协议,在建立连接之后,WebSocket 的 server 与 client 都能主动向对方发送或接收数据。同时,WebSocket 在建立连接时需要借助 HTTP 协议,连接建立好了之后 client 与 server 之间的双向通信就与 HTTP 无关了。
// socket.html
<script>
    let socket = new WebSocket('ws://localhost:3000');
    socket.onopen = function () {
      socket.send('我爱你');//向服务器发送数据
    }
    socket.onmessage = function (e) {
      console.log(e.data);//接收服务器返回的数据
    }
</script>
// server.js
let express = require('express');
let app = express();
let WebSocket = require('ws');//记得安装ws
let wss = new WebSocket.Server({port:3000});
wss.on('connection',function(ws) {
  ws.on('message', function (data) {
    console.log(data);
    ws.send('我不爱你')
  });
})
  1. webpack proxy
//服务器启动目录;
  devServer: {
    contentBase: './dist',
    hot: true,
    // host:'localhost',
    port: 8586,
    // compress:true,

    //解决跨域
    proxy: {
      '/api': {
        target: 'http://localhost:8087',
        pathRewrite: { '^/api': '' },
        changeOrigin: true,
        secure: false, // 接受 运行在 https 上的服务
      }
    }
  },
  1. nginx反向代理
  • 使用nginx反向代理实现跨域,是最简单的跨域方式。只需要修改nginx的配置即可解决跨域问题,支持所有浏览器,支持session,不需要修改任何代码,并且不会影响服务器性能。
  • 实现思路:通过nginx配置一个代理服务器(域名与domain1相同,端口不同)做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录。
  1. window.name + iframe
    window.name 属性的独特之处:name 值在不同的页面(甚至不同域名)加载后依旧存在,并且可以支持非常长的 name 值(2MB)。
    a、b页面同域,a页面嵌套c页面,onload事件第一次载入c页面url变为b页面并且获取contentWindow.name
 // a.html(http://localhost:3000/b.html)
  <iframe src="http://localhost:4000/c.html" frameborder="0" onload="load()" id="iframe"></iframe>
  <script>
    let first = true
    // onload事件会触发2次,第1次加载跨域页,并留存数据于window.name
    function load() {
      if(first){
      // 第1次onload(跨域页)成功后,切换到同域代理页面
        let iframe = document.getElementById('iframe');
        iframe.src = 'http://localhost:3000/b.html';
        first = false;
      }else{
      // 第2次onload(同域b.html页)成功后,读取同域window.name中数据
        console.log(iframe.contentWindow.name);
      }
    }
  </script>

// c.html(http://localhost:4000/c.html)
  <script>
    window.name = '我不爱你'
  </script>
  1. location.hash + iframe
    实现原理: a.html欲与c.html跨域相互通信,通过中间页b.html来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。
    具体实现步骤:一开始a.html给c.html传一个hash值,然后c.html收到hash值后,再把hash值传递给b.html,最后b.html将结果放到a.html的hash值中。
 // a.html
  <iframe src="http://localhost:4000/c.html#iloveyou"></iframe>
  <script>
    window.onhashchange = function () { //检测hash的变化
      console.log(location.hash);
    }
  </script>
 // b.html
  <script>
    window.parent.parent.location.hash = location.hash 
    //b.html将结果放到a.html的hash值中,b.html可通过parent.parent访问a.html页面
  </script>
 // c.html
 console.log(location.hash);
  let iframe = document.createElement('iframe');
  iframe.src = 'http://localhost:3000/b.html#idontloveyou';
  document.body.appendChild(iframe);
  1. document.domain + iframe
    该方式只能用于二级域名相同的情况下,比如 a.test.com 和 b.test.com 适用于该方式。
    实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。
// a.html
<body>
 helloa
  <iframe src="http://b.zf1.cn:3000/b.html" frameborder="0" onload="load()" id="frame"></iframe>
  <script>
    document.domain = 'zf1.cn'
    function load() {
      console.log(frame.contentWindow.a);
    }
  </script>
</body>
// b.html
<body>
   hellob
   <script>
     document.domain = 'zf1.cn'
     var a = 100;
   </script>
</body>

参考链接:
https://www.cnblogs.com/fundebug/p/10329202.html
https://www.jianshu.com/p/29affa38a13f

梦里逆天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js 跨域JSONP/CORS/WebSocket/postMessage/location.hash/document.domain/window.name)
青蛙king的博客
06-10 1289
一、跨域 1、不符合同源策略的通信就是跨域 同源策略:同端口、同域名、同协议。 二、解决跨域 1、反向代理 2、CORS CORS 使用自定义的 HTTP 头部让浏览器与服务器进行沟通 使用 CORS 跨域时,在 Ajax 请求时要自定义HTTP 的请求头 Origin,Origin 包含请求页面(当前页面)的源信息——协议、域名和端口。比如: // ajax 中设置 HTTP 的请求头 Origin: http://www.test.net 服务器端对于CORS的支持,主要..
WebSocket解决跨域问题
AnitaSun的博客
06-16 1万+
这种方式本质没有使用HTTP响应头,因此也没有跨域的限制 前端部分:<script> let socket = new WebSocket("ws://localhost:8080"); socket.onopen = function() { socket.send("秋风的笔记"); }; socket.onmessage = function(e) { console.log(e.data); }; </script> 后端部分:con.
websocket实现跨域的完整操作
m0_60121436的博客
12-09 2099
<script> var ws = null; //定义一个全局变量 // 点击建立连接 $(".set").click(function() { //建立连接 ws = new WebSocket("ws://192.168.124.46:9000/robot"); //连接成功 ws.onopen = functio.
js跨域的解决方案
最新发布
muzidigbig的博客
05-15 1万+
指的是浏览器不能执行其他网站的脚本,简单来说是浏览器同源政策的限制,浏览器针对于的限制。两个页面拥有相同的协议,端口,域名就是同源,如果有一个不相同就是不同源。保护用户,防止一些网站盗取用户信息。 1、通过jsonp跨域 2、跨域资源共享(CORS) 3、document.domain + iframe跨域 4、location.hash + iframe 5、window.name + iframe跨域 6、postMessage跨域 7、nginx代理跨域 8、nodejs中间件代理跨域(非vue、v
前后端开发过程中的跨域问题总结
qq_42383970的博客
02-13 1283
前后端开发过程中的跨域问题总结
Python项目跨域问题解决方案
12-17
首先,我们来看第一个解决方案,通过`ALLOWED_HOSTS`配置。在Django项目的`settings/dev.py`文件中,你可以定义`ALLOWED_HOSTS`列表,列出允许访问后端服务的客户端域名。例如: ```python ALLOWED_HOSTS = ['api....
跨域解决方案Jsonp原理解析
10-15
# 跨域解决方案Jsonp原理解析 在Web开发中,浏览器的安全策略——同源策略(Same-Origin Policy)限制了JavaScript从不同源获取数据的能力。这意味着,如果一个网页的脚本试图访问另一个不同源的资源,浏览器会...
js跨域解决方案
06-25
1. **JSONP(JSON with Padding)**:JSONP是一种早期的跨域解决方案,它依赖于`<script>`标签不受同源策略限制的特点。通过动态创建`<script>`标签,设置其`src`属性为提供服务的服务器接口,并由服务器返回一个包裹...
jQuery跨域问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS跨域访问’)”); ...
详解WebSocket跨域问题解决
09-22
主要介绍了详解WebSocket跨域问题解决的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
跨域几种方式
Secret Island
11-05 1073
原文地址:https://segmentfault.com/a/1190000016756432   一、什么是跨域 JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。那什么是跨域呢,简单地理解就是因为JavaScript同源策略的限制,a.com域名下的js无法操作b.com或是c.a.com域名下的对象。当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同...
ajax调ws解决跨域访问,跨域问题:好几种解决方案
weixin_28795851的博客
08-06 1431
跨域分为广义跨域和狭义跨域广义跨域:一个域下的文档或脚本试图去请求另一个域下的资源;广义跨域可以分为以下几种:1.) 资源跳转: A链接、重定向、表单提交2.) 资源嵌入: 、、、等dom标签,还有样式中background:url()、@font-face()等文件外链3.) 脚本请求: js发起的ajax请求、dom和js对象的跨域操作等狭义跨域:我们通常所说的跨域是指狭义跨域,也就是同源策咯...
小心 !跨站点websocket劫持!
码农翻身
01-09 759
开始之前,先热热身,讲个小故事:年终奖下来了,张大胖琢磨着去买点儿股票作为投资,他用浏览器访问了www.stock.com , 输入了用户名和密码,登录成功。stock....
Websocket协议之握手连接
Oshyn —— 乐而学,学而乐
02-28 6689
Websocket协议是为了解决web即时应用中服务器与客户端浏览器全双工通信的问题而设计的
WebSocket无法连接问题
热门推荐
weixin_44680512的博客
10-26 2万+
rosbridge连接不稳定问题 问题描述: Windows端web连接Ubuntu端rosbridge server,出现有时能连上有时连不上的问题。 最近一次发生连接不上的情况是,前一天可以连接成功,第二天,重新启动rosbridge server,从Windows端建立连接时连接不上。 可能原因 网络连接方式?最近一次发现问题,Windows是有线连接方式,自动分配IP,Ubuntu是无线连接方式。将Ubuntu端切换为有线连接方式后,连接成功。 rosbridge本身的问题? 可以ping通,无
WebSocket建立连接的过程
weixin_44761091的博客
03-02 1万+
文章目录一、WebSocket是什么?二、webSocket建立连接的过程 一、WebSocket是什么? WebSocket实现了浏览器与服务器全双工通信,能更好的节省服务器资源和带宽并达到实时通讯的目的。解决了http无状态、短链接和服务器端无法主动给客户端推送数据等问题。其通信基础也给予TCP。由于较老的浏览器可能不支持WebSocket协议,所以使用WebSocket通信的双方在进行TCP的三次握手之后,还需要额外在进行一次握手,这一次握手的双方通信的报文也是基于http协议改造的。 二、webSo
解决websocket不能与服务器建立连接问题
weixin_56619519的博客
05-18 1916
我直接把域名去掉 就可以建立连接
WebSocket通信协议应用安全问题分析
weixin_33975951的博客
08-01 1508
WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455,WebSocket API也被W3C定为标准,主流的浏览器都已经支持WebSocket通信。 WebSocket协议是基于TCP协议上的独立的通信协议,在建立WebSocket通信连接前,需要使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值