ajax w3c,新W3C标准中 AJAX 跨域实现以及隐患

最新推荐文章于 2021-08-06 04:08:21 发布
最新推荐文章于 2021-08-06 04:08:21 发布
阅读量148 收藏
点赞数
文章标签: ajax w3c

作者:刺

标准也很无奈,标准很难做到 Secure By Default。

最新的W3C标准里是这么实现HTTP跨域请求的,

Cross-Origin Resource Sharing

简单来说,就是跨域的目标服务器要返回一系列的Headers,通过这些Headers来控制是否同意跨域。

这些Headers有:

在 Request 包和 Response 包中都有一些。

其中最敏感的就是 Access-Control-Allow-Origin这个 Header, 他是W3C标准里用来检查该跨域请求是否可以被通过。 (Access Control Check)

跨域实现的过程大致如下:

从 http://www.a.com/test.html 发起一个跨域请求,

请求的地址为: http://www.b.com/test.php

如果 服务器B返回一个如下的header

Access-Control-Allow-Origin: http://www.a.com

那么,这个来自 http://www.a.com/test.html 的跨域请求就会被通过。

在这个过程中, request 还会带上这个header:

Origin: http://www.a.com

6a9203b03bf6d864a858973082d82739.png

不过这里比较要命的是 Access-Control-Allow-Origin 的值可以是通配符 *

如果是 * 的话,就可以接收来自任意source origin的请求。

我已经可以想象到以后这个特性被程序员滥用以及被用来制作后门的可怕后果了!

在 Firefox 3.1 Beta 2上抓包如下:

GET http://www.b.com/test.php HTTP/1.1

Host: www.b.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1b2) Gecko/20081201 Firefox/3.1b2 Paros/3.2.13

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.5

Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Proxy-Connection: keep-alive

Referer: http://www.a.com/test.html

Origin: http://www.a.com

Cache-Control: max-age=0

HTTP/1.1 200 OK

Date: Thu, 15 Jan 2009 06:28:54 GMT

Server: Apache/2.0.63 (Win32) PHP/5.2.6

X-Powered-By: PHP/5.2.6

Access-Control-Allow-Origin: *

Content-Length: 28

Content-Type: text/html

Cross Domain Request Test!

两段代码大致如下:

www.a.com/test.html:

var client = new XMLHttpRequest();

client.open(“GET”, “http://www.b.com/test.php”);

client.onreadystatechange = function() { }

client.send(null);

www.b.com/test.php:

header(“Access-Control-Allow-Origin: *”);

?>

Cross Domain Request Test!

除了这个Header外,还可以通过一些其他的Header 来控制比如 Method, 时间等,可以参考标准,不在此赘述。

出于安全考虑,跨域请求不能访问document.cookie 对象

对于IE8 Beta 2, 则是通过XDomainRequest来实现的这个跨域请求

比如类似如下代码就可以实现了:

var request = new XDomainRequest();

request.open(“GET”, xdomainurl);

request.send();

也要求对方服务器返回这个头才行。

目前,支持这种跨域实现的要求

Firefox 3.1 Beta2

IE 8 Beta2

等到普及还有一段时间。

库尔沃塔森林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
W3school AJAX教程
03-16
Ajax 即“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。
基于CORS实现WebApi Ajax 跨域请求解决方法
10-19
CORS是一种W3C标准允许服务器通过设置特定的HTTP响应头来告知浏览器允许哪些跨域请求。相比于传统的JSONP解决方案,CORS支持所有HTTP请求方法,包括POST、PUT、DELETE等,并且可以处理更复杂的头部信息和认证信息...
[CORS:跨域资源共享] W3C的CORS Specification
唐力
09-15 287
Cross-Origin Resource Sharing随着Web开放的程度越来越高,通过浏览器跨域获取资源的需求已经变得非常普遍。在我看来,如果Web API不能针对浏览器提供跨域资源共享的能力,它甚至就不应该被称为WebAPI。从另一方面来看,浏览器作为进入Internet最大的入口,是各大IT公司的必争之地,所以浏览器市场出现了种类繁多、鱼龙混杂的局面。针对这两点,我们迫切需要一种能够被各个
AJAX基础学习(5)——XMLHttpRequest 对象
JavaCrazyer的ItEye(codewu.com)技术博客
12-27 114
  AJAX - 更多有关 XMLHttpRequest 对象的知识   在向服务器发送数据之前,我们有必要解释一下 XMLHttpRequest 对象的三个重要的属性。   onreadystatechange 属性 onreadystatechange 属性存有处理服务器响应的函数。下面的代码定义一个空的函数,可同时对 onreadystatechange 属性进行设置:   ...
AJAX知识总结-W3C
qq_21065779的博客
01-03 181
AJAX 教程   AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。 AJAX 不是的编程语言,而是一种使用现有标准的方法。 AJAX 最大的优点是在不重加载整个页面的情况下,可以与服务器交换数据并更部分网页内容。 AJAX 不需要任何浏览器插件,但需要用户允许JavaScript在浏览器上执行。
w3c html5 ajax,Ajax教程学习笔记(W3CSchool)
weixin_27872611的博客
06-29 299
第一章: 基础1.1 是什么?AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。AJAX 不是的编程语言,而是一种使用现有标准的方法。AJAX 是与服务器交换数据并更部分网页的艺术,在不重加载整个页面的情况下。1.2 简介AJAX = 异步 JavaScript 和 XML。AJAX 是一种用于创建快速动态网页的技术...
ajax跨域,这应该是最全的解决方案了
02-25
本文只专注于ajax请求跨域(ajax跨域只是属于浏览器"同源策略"的一部分,其它的还有Cookie跨域iframe跨域,LocalStorage跨域等这里不做介绍),内容大概如下:什么是ajax跨域原理表现(整理了一些遇到的问题以及解决...
详解Django解决ajax跨域访问问题
09-20
总结来说,解决DjangoAJAX跨域问题,可以使用`django-cors-headers`间件实现全局控制,或者直接在`views.py`为每个视图设置响应头。JSONP虽然是一种简单的方法,但只适用于GET请求,并且不够安全。理解CORS...
jquery ajax jsonp跨域调用实例代码
12-04
DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”><html xmlns=”http://www.w3.org/1999/xhtml” ><head runat=”serve
跨域请求之jQuery的ajax jsonp的使用解惑
12-10
直接执行了error方法提示错误——ajax jsonp之前并没有用过,对其的理解为跟普通的ajax请求...DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitio
w3c文版(html5、css、ajax、asp、js、dhtml)
01-22
about ado ado ajax asp aspnet browsers careers css dhtml dotnetmobile dtd e4x example hosting html html5 htmldom i js media msnet php quality quiz rdf rss schema search semweb site smil soap sql svg tags tcpip tiy vbscript w3c wap web webservices wmlscript wsdl xforms xhtml xlink xml xmldom xpath xquery xsl xslfo 解决CHM打开后提示”地址无效”"已取消到该网页的导航”: (1)在所下载的chm文件上 单击右键-属性-解除锁定-确定 再次打开问题即可解决 (2)二:是因为文件所处的路径名含有#这样的字符的缘故。<br>因为上次WINDOWS XP2做了UPDATE之后就无法打开chm的帮助文件了....想来想去也无法解决.. <br>今天上来问.. <br>CALLCALL朋友给我提供方法也是无法解决..之后我去了官方查找原因..终于找出问题了!! <br>现在把他分享出来,希望有碰到跟我一样的情况下的朋友可以有所帮助!! <br>症状 <br>安装安全更 896358 或 890175 后,可能会遇到下列一个或多个症状: • 某些类型的基于 Web 的程序可能无法正常运行。例如,HTML 帮助的目录可能不再起作用。 <br>• 从远程位置打开 .chm 文件时,某些 HTML 帮助功能可能不起作用。例如,“相关主题”功能可能不起作用。 <br>打开CHM后里面的内容全部不可见...就像我们常见的404错误一样! <br>注意:本文包含以下 Microsoft 知识库文章的补充信息: <br>896358 (http://support.microsoft.com/kb/896358/) MS05-026:HTML 帮助的漏洞可能允许远程执行代码 <br>890175 (http://support.microsoft.com/kb/890175/) MS05-001:HTML 帮助的漏洞可能允许代码执行 <br>安装这些安全更后会出现这些症状是预料之的。本节为必须对关键业务程序重启用 HTML 帮助 ActiveX 控件的管理员提供了一些示例。这些替代方法可能会危及计算机,使之更容易遭受上述安全更所克制的威胁。最安全的做法是不要使用注册表替代方法。如果必须使用替代方法,请尽可能严格地设置注册表值。 <br>因为CHM有存在此上漏洞!!所以更之后会出现像我那种情况! <br>解决方案: <br>将以下文本粘贴到文本编辑器(如记事本)。然后用 .reg 文件扩展名保存该文件导入注册表.(注意先备份注册表)。 <br>CODE:[Copy to clipboard]REGEDIT4 <br>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] <br>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] <br>"UrlAllowList"="\\\\productmanuals\\helpfiles;http://www.wingtiptoys.com/help/" <br>另外微软自己的网站上也有类似的说明,网址是http://support.microsoft.com/kb/902225/zh-cn <br>它给的解决方法是引用 <br>为最终用户提供的解决方案 <br>警告:如果提示从网站打开或保存 .chm 文件,则仅在需要此文件且信任提供此文件的网站的情况下进行此操作。 <br>在“文件下载”对话框,单击“保存”,然后选择要保存此 .chm 文件的位置。然后,使用下面的方法之一: <br>方法 1 <br>1. 双击此 .chm 文件。 <br>2. 在“打开文件安全警告”对话框,单击以清除“打开此文件前始终询问”复选框。 <br>3. 单击“打开”。 <br>方法 2 <br>1. 右键单击该 CHM 文件,然后单击“属性”。 <br>2. 单击“取消阻止”。 <br>3. 双击此 .chm 文件以打开此文件。
Ajax教程 w3school离线版
09-08
jax教程 w3school离线版 AJAX 指异步 JavaScript 及 XML(Asynchronous JavaScript And XML
w3cajax操作函数,关于ajax的使用方法_例题、ajax的数据处理
weixin_26875051的博客
08-06 244
AJAX 的 关于ajax的使用方法_例题、ajax的数据处理需要注意的是,调用的封装的数据库,和jQuery的保存地址一、注册(1)写文本框来进行用户名的验证 //这个使用来显示提示信息的(2)用jQuery语句写:用户名存在不能使用,用户名可以使用$("#uid").blur(function(){//取用户名var uid = $(this).val();//查数据库,调ajax$.ajax...
w3c 跨域请求规范
weixin_30954265的博客
01-31 159
w3c 官方跨域请求规范地址:https://www.w3.org/TR/cors/ 前段时间开发的一个api在IE8/9浏览器不能正常响应跨域请求,以下是解决问题跨域请求的认识 1.复杂跨域 post请求在发送请求之前,会先发送options 请求,有的服务器拒绝options 请求,使用post 发送json 格式数据时一定要注意了,为了避免出现问题,post 请求发送数据格式可以调...
AJAX - (转w3cschool)
我的三千烦恼丝
07-20 920
AJAX - 在向服务器发送数据之前,我们有必要解释一下 XMLHttpRequest 对象的三个重要的属性。onreadystatechange 属性onreadystatechange 属性存有处理服务器响应的函数。下面的代码定义一个空的函数,可同时对 onreadystat
ajax所学所用总结(w3cajax教程学习,jquery1.7文手册学习——ajax请求)
weixin_30443731的博客
02-25 113
第一次接触ajaxw3cajax教程。那是2014年暑假的事情了,当时是为了做一个页面局部数据刷用的。 下面引用一个它们的例子简单的总结下~(源码出自w3c) <html><!DOCTYPE html> <html> <head> <script> function loadXMLDoc() { var xmlh...
Ajax教程学习笔记(W3CSchool)
张中华的博客
03-27 129
第一章: 基础 1.1 是什么? AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。   AJAX 不是的编程语言,而是一种使用现有标准的方法。   AJAX 是与服务器交换数据并更部分网页的艺术,在不重加载整个页面的情况下。 1.2 简介 AJAX = 异步 JavaScr...
ajax 初识 w3cschool
09-11 691
ajax.html check.jsp
AJAX 教程
weixin_30321449的博客
05-15 144
AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。AJAX 不是的编程语言,而是一种使用现有标准的方法。AJAX 最大的优点是在不重加载整个页面的情况下,可以与服务器交换数据并更部分网页内容。AJAX 不需要任何浏览器插件,但需要用户允许JavaScript在浏览器上执行。 AJAX 实例 使用 AJAX 修改该文...
原生JS实现ajaxajax跨域请求
最新发布
08-27
- *1* *3* [原生js实现ajax以及ajax跨域请求](https://blog.csdn.net/qq_41720311/article/details/83991593)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值