跨域知识梳理

最新推荐文章于 2024-08-27 15:58:06 发布
最新推荐文章于 2024-08-27 15:58:06 发布
阅读量114 收藏
点赞数
文章标签: 网络 前端 ui ViewUI
原文链接:https://segmentfault.com/a/1190000010701786
版权

参考:
维基百科 - Root domain
https://en.wikipedia.org/wiki...
浏览器同源政策及其规避方法 - 阮一峰
http://www.ruanyifeng.com/blo...
window.name 跨域实现原理及实例
http://blog.csdn.net/qq_34099...
html5 postMessage 官方API
https://developer.mozilla.org...
JSONP(直接跳到JSONP那段)
http://kb.cnblogs.com/page/13...
跨域资源共享 CORS 详解 - 阮一峰
http://www.ruanyifeng.com/blo...
跨域资源共享(CORS) - 阿里云技术文档
https://www.alibabacloud.com/...

1 基本概念

1.1 域&域名

域 domian : . 根域、 .org 顶级域(一级域)、 .baidu.com 二级域
域名 domain name : baidu .com 顶级域名(一级域名)、www .baidu .com 二级域名

1.2 同源策略&跨域

同源条件:协议相同、域名相同、端口相同,不满足即为 跨域
同源目的:浏览器 同源策略,保证用户信息的安全,防止恶意的网站窃取数据

1.3 限制范围

很多文章中介绍,跨域会对以下3种行为进行限制:

1)cookie、localStorage、indexedDB
2)dom
3)ajax 请求
我理解按如下分类更为合理:
1)cookie
2)iframe/window.open ( localStorage、indexedDB、dom )
3)ajax 请求
  • cookie 身份授权单独一类
  • localStorage、indexedDB、dom 跨域受限,一般发生在 iframe 或 window.open 的跨域需求时,无法获取新页面的 window 对象,自然无法访问 window.localStorage、window.indexedDB、document.getElementById
  • ajax 请求单独一类。

2 实现跨域

2.1 document.domain

浏览器允许通过设置 document.domain 来实现跨子域
如有 a.example.com 和 b.example.com 2个二级域名,设置 document.domain=example.com 或 Set-Cookie:key=value;domain=example.com;path=/ 可实现2个二级域之间的跨域
可解决 cookie、iframe、window.open、ajax 的跨域问题

2.2 URL #hash + hashChange事件监听

可解决 iframe 的跨域问题
不推荐,如 angular.ui.router 前端路由组件会使用到 URL #hash 字段。

2.3 window.name

可解决 iframe 的跨域问题
window.name 的变化如何监听是一个问题,大约可以存储2M的内容

2.4 html5 postMessage + message事件监听

可解决 iframe & window.open 的跨域问题
语法:otherWindow.postMessage(message, targetOrigin, [transfer]);
官方API参考

2.5 ajax - JSONP

参考:http://kb.cnblogs.com/page/13...

实现原理:web页面上调用js文件时不受同源策略影响,拥有src属性的标签都拥有跨域的能力,比如<script>、<img>、<iframe>。基于此特性,开发人员总结出JSONP方法。

优点:浏览器兼容性好,服务器改造工作量小。
缺点:仅适用 GET 请求;请求出错时,无法获得http错误状态码

客户端实现
clipboard.png
服务端实现
clipboard.png

客户端将 http 跨域查询参数 flightNumber 与回调函数 flightHandler 传递给服务器,服务器处理完后动态生成 test.js 返回,浏览器加载 test.js 完成后执行 flightHandler,完成跨域请求。
在实际编码时,客户端可使用如 jQuery 封装好的 JSONP API。

2.6 ajax - websocket

WebSocket是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀。该协议不实行同源政策,只要服务器支持,就可以通过它进行跨源通信。 摘自阮一峰博客
WebSocket 延伸阅读(不涉及跨域)

2.7 ajax - CORS

CORS 跨源资源分享(Cross-Origin Resource Sharing)为 W3C 标准( 兼容性参考
优点:提供安全的跨域数据传输,且不限于 GET 请求。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
跨域资源共享(CORS) - 阿里云技术文档
跨域资源共享CORS详解 - 阮一峰

weixin_33738555
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于跨域相关知识整理
Yweivvv的博客
05-21 165
跨域 同源策略: 所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略的限制: 1.Cookie、LocalStorage 和 IndexDB 无法读取 2.DOM 和 Js对象无法获得 3.AJAX 请求不能发送 跨域解决方案: 通过jsonp跨域 document.domain + iframe跨域 location.hash + iframe window.na
知识图谱(knowledge graph)——概述
bobobe的专栏
04-10 4594
知识图谱总结概念技术链概括通用知识图谱和垂直领域知识图谱国内外开放知识图谱技术链详解知识获取知识融合知识表示知识推理功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图...
JS跨域知识整理
weixin_30363817的博客
08-25 63
在“跨域”一词经常性地出现以前,我们其实已经频繁地使用它了。如在A网站的img,src指向B网站的某一图片地址,毫无疑问,这在通常情况下都是能正常显示的(且不论防盗链技术);同样,可以使script标签的src属性指向其它网站的脚本资源(在某些情况下甚至鼓励这样做,以便充分利用其它网站的负载优势,减小自身服务器的并发量)。然而,如若使用js去主动请求其它网站的数据,比如ajax方式,就会遇到让人郁...
跨域相关知识整理
qq_25283319的博客
05-20 120
跨域相关知识整理 跨域的定义及产生原因 当一个请求的协议、域名、端口号这三者之中有任意一个与当前页面不相同,就是跨域跨域问题产生的原因是因为浏览器的同源策略限制。同源政策是浏览器最核心也是最基本的安全功能,如果没有同源策略,浏览器的正常功能可能都会受到影响。 非同源限制 无法读取非同源页面的Cookie、LocalStorage和IndexDB 无法解除非同源网页的DOM 无法向非同源地址发送AJAX请求 解决跨域问题的方法 一、window.name跨域 可以设置window.name属性,然后结合
JS跨域知识整理 JSONP原理
weixin_30530339的博客
08-25 59
在“跨域”一词经常性地出现以前,我们其实已经频繁地使用它了。如在A网站的img,src指向B网站的某一图片地址,毫无疑问,这在通常情况下都 是能正常显示的(且不论防盗链技术);同样,可以使script标签的src属性指向其它网站的脚本资源(在某些情况下甚至鼓励这样做,以便充分利用其它 网站的负载优势,减小自身服务器的并发量)。然而,如若使用js去主动请求其它网站的数据,比如ajax方式,就会遇到让...
Apache和Nginx虚拟机的配置方法+跨域知识点整理
xk2844600795的博客
01-10 915
WebSocket 是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀,他是HTML5 的一个持久化的协议,它的目标是在一个单独的持久连接上提供全双工、双向通信。实现原理:在全局定义一个函数,将函数名以get传参的方式写入到script标签的src属性中(如下图所示),后端返回函数名以及参数,全局定义的函数就会自动调用,形参会接收后端传过来的参数。这是为了避免多次预检请求。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。
虚拟主机3种方式nginx/apache+跨域知识点整理
weixin_53284312的博客
01-10 807
虚拟主机3种方式nginx/apache+跨域知识点整理
前端跨域知识总结
Guan'Blog
10-02 244
导语: 在日常的开发过程中,跨域是一个令人头疼的事情,也在跨域的过程中学到了不少知识,也吃了不少跨域的亏,一直没有时间整理这部分的知识点,现在就我脑海中的跨域知识以及结合开发过程中遇到的坎进行一个系统的总结。 目录 跨域是什么 跨域解决方法 跨域是什么 说到跨域,就不得不提游览器的同源安全策略。按照MDN所说,同源策略限制了从同一个源加载的文档或者脚本如何和来自另一个源的文档和脚本等资源进...
跨域解决方案整理笔记
u011415782的专栏
03-08 362
一. 前言 ①. 跨域知识: 在开发测试中,难免会在不同域下进行跨域操作,出于安全性考虑,浏览器中的同源策略阻止从一个域上加载的脚本获取或者操作另一个域下的文档属性,这时需要进行跨域的方式进行解决,如:使用 jsonp ,iframe 等 要理解跨域,先要了解一下“同源策略”。 所谓同源是指,域名,协议,端口相同。所谓“同源策略“,简单的说就是基于安全考虑,当前域不能...
Javascript 跨域知识详细介绍
10-21
Javascript跨域知识详细介绍了如何在不同域之间进行数据交互的技巧和方法。随着Web技术的发展,跨域资源共享的需求日益增多。但出于安全考虑,浏览器执行的同源策略限制了来自不同源(协议、域名、端口)的文档或...
Flask解决跨域的问题示例代码
09-20
本文将详细解读Flask解决跨域问题的示例代码,并提供相关知识点的梳理,为希望解决类似问题的开发者提供参考。 首先需要明确的是,跨域请求被发起时,浏览器首先会发送一个OPTIONS方法到服务器进行预检,这一步被...
javascript-cros:跨域的一些问题和方法总结
05-26
奈何最近做了双失青年,因此有了空余的时间去研究研究知识点和梳理一下,顺便自己动手风衣足食。废话不多说请看下文。 为什么要跨域? ##何谓同源: URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口...
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1452
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 973
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
qq_69971969的博客
08-24 522
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
33.python socket
最新发布
笔生花的博客
08-27 642
python socket 心跳包 数据包
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1228
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
计网面经111
qq_43578042的博客
08-24 219
3、流量控制:TCP使用滑动窗口协议来控制发送方发送数据的速率,接收方会告诉发送方它的缓冲区大小,发送方会根据接收方的缓冲区大小来控制发送速率,确保接收方不会因为太快而丢失数据。2、序列号和确认号:TCP将每个数据段都分配一个序列号和确认号,序列号用于标识数据段的位置,确认号用于确认已经收到的数据段的位置,这样可以避免数据丢失或乱序。通过以上这些机制,TCP保证了数据的可靠传输,但是也会造成一定的延迟,因为数据包需要等待确认和重传,以及滑动窗口和拥塞控制会限制发送速率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值