http跨域

最新推荐文章于 2024-03-10 15:41:33 发布
最新推荐文章于 2024-03-10 15:41:33 发布
阅读量186 收藏
点赞数
分类专栏: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangqiang9x/article/details/89881457
版权
什么是跨域?

所有支持Javascript的浏览器都会使用同源策略这个安全策略。

同源策略,它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。
当一个浏览器的两个tab页中分别打开百度和谷歌的页面
当一个百度浏览器执行一个脚本的时候会检查这个脚本是属于哪个页面的
即检查是否同源,只有和百度同源的脚本才会被执行。

举个简单的例子: 能过localhost:8888端口请求网页index.html,并且在该网页中又向localhost:9999端口发出了请求,这里就被视为是跨域,一般默认情况下这种请求是不被允许了,解决这种限制的办法是在response的head中加入’Access-Control-Allow-Origin’:’*’

跨域问题被谁限制了呢

其实这个限制是浏览器限制的,如果你通过CURL来坊问的话是没有问题的

跨域问题也不是只有’Access-Control-Allow-Origin’:’*'才能解决
<link/> <image/> <script/><iframe/>等这些带src的标签,在其src中带入跨域链接也都是可以的,这种跨域方式叫做jsonp, 请大家参见百度百科:https://baike.baidu.com/item/jsonp/493658

‘Access-Control-Allow-Origin’:’*’ 是不安全的

‘*’表示所有网站都可以坊问,可以限定一下,写成:‘Access-Control-Allow-Origin’:‘http:localhost:8888’

跨域限制以及预请求验证

允许方法 :GET/POST/HEAD
允许content-type : text/plain , multipart/form-data , application/x-www-form-urlencoded
允许请求头 :Accept , Accept-Language , Content-Language , Content-type
具体请参见: https://fetch.spec.whatwg.org/#cors-safelisted-request-header

若想突破这些跨域的限制可以使用预请求的方式:
允许PUT , DELETE ,POST这些方法也可以域请求
‘Access-Control-Allow-Methods’ : ‘PUT , DELETE , POST’
允许test-header-1自定义请求头
‘Access-Control-Allow-Headers’ : ‘test-header-1’
预请求1000秒内生效,一次预请求后的1000秒内不需要再次预请求
‘Access-Control-Max-Age’ : ‘1000’

CSRF攻击
这是一种伪造真实用户来做非法操作的攻击方式,攻击手段举例:
一、张三在能过浏览器坊问了A网站,然后在其网页上输入了他的帐号及密码并成功登陆了用户页面
二、浏览器本地缓存了张三的用户信息cookie
三、张三坊问B网站,B网站返回攻击必的代码,并获取张在A网站中的cookie
四、B网站利用A用户的cookie信息,向A服务发起伪造请求

所以跨域的限制可以防范此类问题

人月神话
关注
专栏目录
HTTP跨域
low666的博客
03-16 584
HTTP跨域 1.跨域请求 浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域) 2.同源策略 同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同 3.跨域问题的产生 域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产...
HTTP跨域和调试技巧
前端博客典中典
12-08 623
HTTP基础 前端需要关心URL、headers和data,接下来围绕它们展开。 1.了解URL URL比较简单,就简单介绍一下,将URL分为主要的3部分: router,路由。路由地址可不能错,这就跟收件地址一样,填错收货的就不是既定的那个人了。 search,查询字符串,就是?后面的字符串,以键值对的形式通过“&”连接,例如:“?key1=value1&key2=value2”。查询字符串就是发送到后台的数据,跟普通的post请求相比,get请求以明文的形式存储在访问历...
http跨域
Handsome2013的博客
03-25 260
tcp三次连接 先上图。 第一次握手:我们给服务器发消息“哥们,让我touch一下”,我们做这个动作是想证明,我们有没有发消息的能力,怎么证明呢,需要服务器把我们发的消息回传回来。 第二次握手:服务器告诉我们“来啊,来啊”,同时再把我们发的消息回传给我们。这个时候我们就可确定,我们发消息的能力是没有问题的,同时服务器也需要通过这次握手来确定自己的发消息能力。也就是这次握手确定了我们的发消息能力,需要确定的是服务器的发消息能力。 第三次握手:我们告诉服务器“我就到”。这时候服务器就确定了自己的发消息能
HTTP跨域
weixin_45364386的博客
12-06 1809
简单理解http跨域(Cors)
[http] 跨域说明
hudk114的专栏
02-09 370
只是从http层角度说下跨域的问题,并不提供解决方法,解决方法在以前老的文章里写过 跨域 跨域的请求被拦截有两种可能: 1. 浏览器直接禁止发起跨域,例如在某些浏览器中HTTPS请求HTTP域请求不会发起; 2. 跨域请求发起了,但是返回结果被浏览器拦截,请求失败。 CORS w3c协议 CORS是一种利用额外HTTP头部来允许用户代理跨域请求的技术,与传统跨域方式不...
Http跨域
04-23
Http跨域详解】 在Web开发中,"跨域"是一个常见的术语,它涉及到浏览器的安全策略,即同源策略(Same-Origin Policy)。同源策略限制了来自不同源(协议+域名+端口)的Web页面之间的交互,比如JavaScript无法直接...
http 跨域请求 CORS.pdf
最新发布
08-05
http 跨域请求 CORS.pdf
HTTP跨域问题的解决方案
Star_CSU的博客
05-30 6514
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
http跨域详解
weixin_34151004的博客
12-25 675
跨域 为什么会有跨域??由于浏览器的同源策略限制,浏览器会拒绝跨域请求,那么什么是同源呢?如果两个页面的协议,端口,和域名都相同,则两个页面具有相同的源。如果3者有一个不同,则为跨域。 域的更改 页面可能会因某些限制而改变他的源。脚本可以将document.domain的值设置为其当前域或者当前域的超级域。如果将其设置为其当前域的超级域...
HTTP跨域方法
思维小刀
04-29 1016
1.简述 1.1协议端口主机不同就是跨域 1.2跨域时报错 Failed to load http://bb.bb.bb/data.php?aaaa=1111: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://aa.aa.aa' is therefor...
http中的跨域问题
PanPa_WoNiu的博客
04-22 259
写的比较好的博客: https://www.jianshu.com/p/a71708985a6d
http -- 跨域问题详解(浏览器)
qq_37233070的博客
12-19 1806
域域既是 Windows 网络操作系统的逻辑组织单元,也是Internet 的逻辑组织单元,它是安全边界。只有域的所有者才能访问管理域内部的资源,若其他的域要访问或者管理,则需要该域赋予其他域相关权限。从小角度来讲,在php中的变量作用域,就可以体现出安全边界的概念。在以下例子中,调用test函数并不会输出任何内容。echo $a;test();因为函数内调用的是局部作用域的变量,而在局部作用域内并没有声明 $a 变量。除非我们使用global $a;从全局作用域引用该变量。
跨域HTTP请求
新的启程的博客
03-18 1509
HTML部分<a href="http://img5.imgtn.bdimg.com/it/u=1478257864,2882073929&fm=21&gp=0.jpg" >测试1</a> <a href="http://apis.baidu.com/apistore/weatherservice/citylist" >测试2</a> <a href="http://apis.baidu.com/a
详解HTTP跨域
summer_fish的专栏
08-06 6100
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
Http跨域和处理方案
2th
10-17 646
跨域问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、域名和端口的资源。如果一个请求的目标资源的协议、域名或端口与当前页面的不同,就会触发跨域请求。跨域问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
HTTP----跨域解决方式
m0_58794378的博客
03-10 2726
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
HTTP中的跨域请求、HTTP报文结构、状态码
qq_44886213的博客
01-13 7746
对这篇博客的理解及记录:HTTP跨域的原因及解决方法(CORS 和 JSONP) - 简书 一、前驱知识学习 要理解跨区请求的话,需要对HTTP的报文结构、状态码有所了解。 HTTP 有两类报文: (1)请求报文——从客户向服务器发送请求报文。 (2)响应报文——从服务器到客户的回答。 (1)请求报文 命令/方法:常见的有GET、POST、HEAD (2)响应报文 状态码: (1)状态码都是三位数字 1xx 表示通知信息的,如请求收到了或正在进行处理。 2xx 表示成功
HTTP协议原理(二)(跨域相关)
couch potato的博客
08-06 306
1、认识http客户端 浏览器就是最常用的http客户端,发送请求,还可以看到返回的内容 f12开发者工具,network curl 工具(打开命令行,输入命令可以请求具体内容) 2、CORS跨域请求的限制与解决 ...
webservice和http跨域区别
04-26
Web服务(Web Service)是一种跨平台的解决方案,能够使用HTTP来提供标准的、可扩展的、轻量级的服务。HTTP协议是一种相对简单的协议,主要用于客户端和服务器之间的通信。与HTTP相比,Web服务更加灵活和安全,支持交互性更强的功能,包括远程过程调用(RPC)和消息发布。 跨域是指通过JavaScript在一个域名下访问另一个域名下的资源。HTTP跨域是指协议层面上的跨域请求,在浏览器端的实现通常是使用XMLHttpRequest对象来发送AJAX请求。而WebService的跨域请求是通过SOAP协议的HTTP POST方式来实现的,需要在服务器端进行跨域访问规划。 总的来说,WebService是一种更加完整的跨域解决方案,而HTTP跨越只是其子集。其中,WebService是建立在HTTP协议之上的一种安全可靠的远程调用机制,为企业级应用程序提供了灵活和可扩展的服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值