同源策略(same-origin policy)及三种跨域方法

最新推荐文章于 2023-08-24 22:16:35 发布
最新推荐文章于 2023-08-24 22:16:35 发布
阅读量272 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/YeChing/p/6343215.html
版权

同源策略(same-origin policy)及三种跨域方法

1.同源策略

含义:

同源是指文档的来源相同,主要包括三个方面

  • 协议
  • 主机
  • 载入文档的URL端口

所以同源策略就是指脚本只能读取和所属文档来源相同的窗口和文档的属性这样一个规定。

同源策略目的

一项政策的颁布肯定事出有因,所以同源策略也不例外,主要是出于安全性考虑,比如可以防止恶意脚本读取内容

注意:

同源策略限制的是脚本嵌入的文本来源,而不是脚本本身,理解这点特别重要。比如B主机可以通过使用(<script>标签的src)属性加载A主机的脚本,但是却不可以载入A主机的文档,这就是同源策略发挥作用了。

限制范围

非同源,共有三种行为受到限制。

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送。

虽然这些限制是必要的,但是有时很不方便,合理的用途也受到影响。

2.三种跨域方法

(1)设置document.domain

比如home.example.com要读取developer.example.com里面的文档,由于同源策略的限制,就无法读取,我们通过设置document.domain="example.com";这时就不再受同源策略的限制了。

(2)夸资源共享CORS(Cross-origin resource sharing)

CORS采用新的“origin:”请求头和新的Access-Control-Allow-Origin响应头来扩展HTTP。它允许服务器用头信息显示地列出源,或使用通配符来匹配所有的源并允许任何地址请求文件。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

从而它允许浏览器向跨源服务器,发出XMLHttpRequest请求,克服了AJAX只能同源使用的限制。

(3)跨文档消息(cross-document messaging)

允许来自一个文档的脚本可以传递消息到另一个文档里的脚本,而不管脚本的来源是否不同,通过调用window.postMessage()方法,可以异步传递消息事件(可以使用onmessage事件处理程序函数来处理它)到窗口的文档里。

参考:

1.javascript权威指南

2.浏览器同源政策及其规避方法

3.跨域资源共享 CORS 详解

转载于:https://www.cnblogs.com/YeChing/p/6343215.html

weixin_30825581
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
allow-same-origin属性案例
04-29
两个网页所在URL的域名相同、端口相同才能被当初同一源。出于安全考虑,如果两个网页不是同一源,那么网页是不允许使用Ajax进行交互的,一旦设置了allow-same-origin属性,就会被视为同源,加载服务器的内容,这些操作都需要JavaScript,因此常常需要与allow-scripts属性相结合使用 博客文章地址:https://blog.csdn.net/sujin_/article/details/80144310
谷歌跨域插件Access-Control-Allow-Origin
02-15
跨域是由于浏览器的同源策略(Same-origin policy)引起的,它限制了来自不同源的JavaScript脚本对网页资源的访问,以保护用户数据的安全。Access-Control-Allow-Origin是HTTP响应头的一部分,用于定允许哪些源的...
同源策略
aaron_cs的专栏
01-24 1982
概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。   这里的同源的是:同协议,同域名和同端口。精髓:   它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来
同源政策(same-origin policy
TKOP_的博客
04-20 1706
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
同源策略》的简单介绍
weixin_34383618的博客
03-25 349
[TOC] 1、概述 同源策略是对JavaScript代码能够操作哪些WEB内容的一条完整的安全限制,也是由Netscape提出的一个著名的安全策略。所谓同源简单来说就是“三个相同”,**1、域名相同2、协议相同3、端口相同** 当我们使用多个<iframe>元素或者打开其他浏览器窗口的时候,这一策略就会发挥它的作用,在这种情...
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
"No 'Access-Control-Allow-Origin'"错误是由于浏览器的同源策略(Same-origin Policy)限制所致,该策略规定,JavaScript发起的Ajax请求只能访问与当前页面同源(协议、域名、端口都相同)的资源。当尝试跨域请求时...
深入浅析同源策略跨域访问
09-03
同源策略,即Same Origin Policy,是一项确保浏览器安全性的核心机制,它限制了不同源的文档或脚本之间的交互。源由协议、域名和端口共同决定,只有当这三个元素完全匹配时,两个URL才被认为是同源。 同源策略的...
静态文件访问不到报No Access-Control-Allow-Origin处理办法
06-11
在进行Web开发时,我们经常会遇到“跨域”(Cross-Origin)的问题,这通常是由于浏览器的同源策略(Same-Origin Policy)所导致的。当一个网页尝试从不同的源(协议、域名或端口)请求资源时,如果目标服务器没有...
JSON to JSONP- Bypass Same-Origin Policy
10-15
在Web开发中,浏览器的同源策略(Same-Origin Policy)是一项重要的安全机制,它限制了来自不同源的“脚本”之间交互。这意味着,一个网页只能访问和操作与自身同源(协议、域名、端口都相同)的资源,对于不同源的...
is-same-origin:检查两个URL是否起源相同
05-15
原产地相同 检查节点和浏览器的两个URL是否起源相同 安装 npm install is-same-origin // Using ES6 modules import isSameOrigin from 'is-same-origin' ; // Using CommonJS modules const isSameOrigin = require ( 'is-same-origin' ) ; CDN版本也可以在unpkg上获得: 使用 用法 const isSameOrigin = require ( 'is-same-origin' ) ; isSameOrigin ( 'http://www.example.com/dir/page.html' , 'http://www.example.com/dir/page2.html' ) ; // => true isSa
同源策略(SOP)Same-origin policy
汗的博客
12-23 799
什么是同源策略同源策略是一种Web浏览器安全性机制,旨在防止网站相互攻击。 同源策略限制一个起源上的脚本访问另一个起源的数据。源由URI方案,域和端口号组成。例如,考虑以下URL: http://normal-website.com/example/example.html 这将使用协议http,域normal-website.com和端口号80。下表显示了如果上述URL上的内容尝试访问其他来源时将如何应用同源策略: 网址已访问 允许访问? http://normal-website.com/examp
同源策略是什么
weixin_34368949的博客
03-01 1018
1.同源策略是对 JavaScript 代码能够操作哪些 web 内容的一条完整安全限制 2.这里的同源的——源的是文档的来源。必须同时满足协议、域名、端口相同 注意点*文档的来源并非脚本的来源 脚本本身的来源和同源策略并不相关,相关的是脚本所嵌入文档的来源。 被嵌入的文档来源主机 B, 那么脚本对着这主机上的其他文档具有访问权限。 但是,如果脚本打开第三个窗口并载入一个来自主机 C的文档,同...
什么是同源策略
hikin
01-02 383
 一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:     假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一 个tab窗口中打开了银行网...
什么是同源策略
weixin_30730151的博客
06-26 141
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果两个页面的协议,端口(如果有定)和域名都相同,则两个页面具有相同的源。 浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Do...
[js]浏览器同源策略(same-origin policy)
weixin_30702887的博客
02-24 331
浏览器的同源策略 浏览器同源政策及其规避方法 什么是同源策略 A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"的是"三个相同"。 https:// www.baidu.com: 80 协议相同 域名相同 端口相同 http://www.example.com/dir2/other.html :同源 http://example.com/dir/oth...
理解“same-site“ 和 “same-origin
weixsun的博客
04-14 737
Understanding "same-site" and "same-origin" 作者:Eiji Kitamura 译者:weixsun 原文:Understanding "same-site" and "same-origin" "same-site" and "same-origin" are frequently cited but often misunderstood te
【浏览器安全机制】一文带你了解同源策略(Same origin policy)及跨域请求
等风来
08-24 7616
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
彻底搞懂「同源same-origin」和「同站same-site」的区别
包磊磊的博客
01-03 2181
作为一名前端,肯定会接触到「同源」和「同站」这两个名词,比如: Ajax 请求会受到浏览器同源策略的制约 Cookie 的 SameSite 属性表示该 Cookie 是否能被跨站发送 那究竟什么是同源(Same-Origin)、什么是同站(Same-Site)呢?在弄清楚这两个概念之前,必须先弄清楚「源」和「站」的区别: 源(Origin) 源(origin)= 协议(scheme)+ 主机名(hostname)+ 端口号(port) 假如网址是: https://www.examp
vue 接口不通 Referrer Policy: strict-origin-when-cross-origin
最新发布
06-20
Vue 应用程序使用 `Ref`(响应式属性)或其他 Vue 的 API 与后端接口通信时,遇到 "Referrer Policy: strict-origin-when-cross-origin" 错误,这通常是因为浏览器的同源策略(Same-Origin Policy)在处理跨域请求时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值