从网络链路到跨域问题

最新推荐文章于 2024-10-02 06:15:56 发布
最新推荐文章于 2024-10-02 06:15:56 发布
阅读量197 收藏
点赞数
文章标签: 运维 数据库 javascript ViewUI
原文链接:https://juejin.im/post/58f9eda9570c350058cd6be4
版权

首先,得知道什么是域。

再首先,得先知道Web服务从访问到收到数据并展现这个过程发生了什么。

IP

注:下文中 网络空间 = TCP/IP网络空间, IP = IP地址

IP本身是Internet Protocol的缩写,是一种为了计算机相互连接通信而产生的协议,我们在这就用它代指ip地址。

每个在线的网络服务在网络空间的真实存在形式都是以ip地址形式存在的,它属于网络七层模型中的网络层,它是一个地址,用来识别网络空间中互联的主机和路由器,暂且认为用ip地址可以访问到一个服务器。

好比地球上的每个地点都有一个经纬度,只要这个经纬度真实存在并有效可用,我们根据这个经纬度就一定能找到这个地点,且经纬度是永久不变的。

实际上ip地址的“永久不变”是指在这个ip对应的互联网服务的生命周期内,其不会变化。

直接服务场景:假设某公司拉了一条电信专线服务,电信给其分配8个ip地址,其中3个为广播地址,剩余5个配置且部署好对应的网络服务,外部是可以直接访问到该公司所架构的网络服务的。

真实商业生产场景:假设在某云服务厂商购买服务器,默认会分配有唯一ip,服务器重启、重置...ip是不会变化的,但服务器如果到期了,服务器提供商会同时释放掉ip资源,这个ip可能就会分配给其他服务,亦或者回收这个ip,ip本身和服务没有关系,但大多数的商业服务ip都是随服务捆绑的。

简单说:ip是指向网络空间具体某一处的唯一地址,但它并不是永远不变的。

域名和DNS

像经纬度一样,ip地址是一长串数字,不便于记忆,所以我们需要一个类似地名一样的别名,当我们一旦说出别名,就知道它大概在哪,且无需care它的真实经纬度。

我们之所以听到地名就知道这个位置大概所在,是因为我们大脑内已经存储了这个地名和真实地点的关联信息,暂且称之为我们存储的这块用于关联地点的数据为“数据库”。

人脑有限,我们不可能记住所有的地名和地理位置,所以需要有一个容易专门来存储这些关联数据的数据库,最好其可以直接把我们带到目的地。

这就是DNS,全称Domain Name System,他做的事情很简单,就是将我们输入的ip别名(域名)通过数据库解析为ip地址返回。

实际上,浏览器或我们发起请求的客户端会根据DNS返回的ip去请求网络资源,并返回解析展示。

然而,浏览器请求时如何知道域名使用的是哪家DNS服务商呢,于是浏览器便需要先把域名发送到本地配置的DNS服务商(本地域名服务器/Local DNS Server)那里得到该域名的NS(Name Server),然后再把该域名拿到Name Server去获取IP,然后再向该IP请求数据。

实际上整个域名解析的链路十几步不止,浏览器请求LDNS之前会对浏览器本身的DNS缓存和本机DNS缓存的判断,判断会根据命中情况和TTL和其他数据决定是否进入下一步。

LDNS如果查询失败,则会直接请求root DNS Servers,root DNS Servers只为全球只有十三台的gTLD(generic Top-Level DNS Server)进行服务,RDNS会返回域名所在的主域名服务器的地址,即对应的gTLD地址,然后继续向gTLD发送请求以得到NS地址,于是又回到了上一步。

一张图来表示:

简单说就是:DNS是一套完整的系统,这套系统做的事就是根据一个个的表去查对应的数据,最终返回一个目标IP。

跨域

该说域了;我们可以把域理解为一个域名或IP所代表的范围,比如访问a.com指向了A服务器,访问b.com指向了B服务器,我们可以认为a和b是分开独立的两个域。

大多数情况下,a.com b.com都应该是两个没有关系的单独网络服务,他们默认不应该产生关联(静态资源引用除外),起码浏览器是这么认为的。

所以如果你在a.com下向b.com发起一个触发浏览器安全机制的xhr的网络请求,浏览器默认是会拦截的,并附赠一大串Error,他认为你这么做不安全,不允许跨域请求数据。

CORS

CORS(Cross-origin resource sharing)是一个W3C标准,全称"跨域资源共享"。
它规定允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而解决跨域问题。

我们先看浏览器的安全机制是怎样的?

浏览器把异步请求(xhr/fetch)分为两类:

  • 简单请求
  • 非简单请求

简单请求的条件:

  1. 请求方法是以下三种方法之一:

    • HEAD
    • GET
    • POST

  2. HTTP的头信息不超出以下几种字段:

    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

只要不满足以上条件的请求均为非简单请求

简单请求

简单请求在发出时,浏览器会自动给请求头加上Origin字段,该字段为当前请求发出者所在的域(协议 + 域名 + 端口),
服务端根据请求headers里的Origin来判断是否允许请求者获取资源,如果允许,服务端在返回时会在headers里携带几个特殊的字段,用于告知浏览器,允许此次请求,
否则,即使正常返回数据,浏览器检测到无对应的允许跨域字段,也会在console throw Error,告知你跨域访问失败。

这几个字段便是CORS标准中所实现的三个字段:

  1. Access-Control-Allow-Origin
    该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

  2. Access-Control-Allow-Credentials
    该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
    如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

  3. Access-Control-Expose-Headers
    该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里指定。

非简单请求

非简单请求一般出现在对服务端进行CUD操作的场景下,异源RESTful就是一种最典型的场景,会使用到PUTDELETEPATCH...等请求类型,且一般以application/json格式进行数据交互。

当浏览器把一个请求判定为非简单请求,则其发出前,浏览器会预先对服务端发起一个OPTIONS类型的预检(preflight)请求,同时也会加上Origin字段,
浏览器会根据此次预检请求返回的响应头来判断,服务端是否允许本域跨域操作资源,若判断为允许,则浏览器立即发出本身要发出的请求,否则,控制台抛出异常,中断请求。

服务端应返回的响应头应包含以下几个CORS字段:

  1. Access-Control-Allow-Origin
    必需返回,同简单请求中的含义。

  2. Access-Control-Allow-Methods
    该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

  3. Access-Control-Allow-Headers
    如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

  4. Access-Control-Allow-Credentials
    可选返回,同简单请求中的含义。

  5. Access-Control-Max-Age
    该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。

在每一次真正的数据请求时,Access-Control-Allow-Origin字段都是服务端一定会返回的。

为避免频繁的预检请求降低效率,真实生产环境下,建议设置Access-Control-Max-Age字段。

解决方法

开发环境下解决方案

通过本机开启代理实现在开发环境下将api转化为子路径,Node.js、apache、nginx均可实现。

webpack版本代码: 全部代码

proxy: {
    '/api': {
        target: 'http://localhost:8000',
        secure: false,
        changeOrigin: true,
        pathRewrite: {
            '^/api': ''
        }
    }
},复制代码
生产环境下解决方法

为服务端设置预检请求的响应及相关的CORS字段。Node.js版本代码

误区

JSONP只是在CORS未规范之前用于解决基本跨域的曲径(奇技淫巧),其并非解决跨域的真正途径。

web开发者在使用vue-resource、axios...等各种异步库时,可能会存在类似解决跨域的选项,其可能是内部对简单请求和非简单请求进行的一些基本转换,此类并非真正解决跨域的方法,解决跨域务必需要服务端处理。

本文部分内容参考来源:

《跨域资源共享 CORS 详解》

MDN - HTTP访问控制(CORS)

W3C - HTTP/1.1: Method Definitions

原文地址:surmon.me/article/21

weixin_34032827
关注
网络跨域问题
qq_45793102的博客
03-29 566
跨域: 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 为什么会有跨域: 在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问问题。在请求的过程中我们要想回去数据一般都是post/get请求,所以,跨域问题出现。跨域问题来源于JavaScript的同源策略,即只有 协议+主机名+端口号(如存在)相同,则允许相互访问。也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源。跨域问题是针对JS和ajax的,html本身没有跨域问题
为什么127.0.0.1和localhost之间算跨域?
longlongqin的博客
07-01 1456
跨域问题是指在浏览器中,当一个网页向不同域名、不同端口或不同协议的资源发起请求时,会受到限制。这是由浏览器的**同源策略(Same-Origin Policy)**所导致的安全限制。同源策略规定,浏览器允许页面中加载的脚本只与其来源相同的资源进行交互,包括协议(http或https)、主机/域名(domain)、端口(port)。同源策略的主要目的是保护用户的隐私和安全,防止恶意网站通过脚本获取用户的敏感信息或执行恶意操作。
跨域问题的5种解决方案
BrightLD的博客
12-10 1283
跨域什么是跨域? 跨域是由浏览器的同源策源产生的,是指页面请求的接口地址,必须与页面的url地址处于同域上(即域名、端口、协议相同)。这是为了防止某域名下面的接口,被其他域名下的网页非法调用,是浏览器对JavaScript施加的安全限制。 跨域产生的原因在我们日常的开发中,静态资源是放在本地电脑上面的,访问这些资源通常通过IP地址(127.0.0.1)或者localhost来访问的,与线上服务器所
js如何获取访问IP、地区、当前操作浏览器
10-16
主要介绍了js如何获取访问IP、地区、当前操作浏览器,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
实现跨域网络访问
weixin_38378596的博客
09-29 946
实现跨域网络访问基本说明在前端开发中,我们可以使用ajax来发送网络请求。 发送请求的方式:GET请求|POST请求 发送请求的主要步骤: GET请求: 1)创建请求对象(XMLHTTPRequest)注意兼容性问题 2)设置请求方法和路径(open方法) 3)发送请求(send方法) 4)监听网络请求的状态(onreadystateschange) 5)处理
跨域问题的4种解决方案
热门推荐
潘高的小站
09-15 1万+
更多内容,请访问我的 个人博客。 前言 难以置信,我居然被跨域问题折磨了一上午。相信很多程序员都遇到过跨域问题,当然,解决方案也有很多种。但我今天尝试了无数种办法,依旧没有解决。直到最后我媳妇儿给了我个提示,会不会跨域问题只是表象,真正的bug在其他地方。后来,经过我仔细排查,终于发现原来是PhalApi框架中的一个小问题,引发了跨域报错(文末再说PhalApi框架中的问题是啥)。那我也借这个机会,来和大伙聊聊啥是跨域问题,和有哪些常见的解决方案。 什么是跨域 什么是快乐星球,呸,什么是跨域呢? 简单来讲
跨域问题解决
qq_49949568的博客
06-16 1060
跨域
基于卫星链路的空海跨域通信系统设计.docx
05-22
此外,网关中的核心协议融合单元能够将不同通信协议统一到跨域通信网络协议中,从而实现与其他设备的信息融合。 ##### 4.3 系统设计 - **跨域通信网关系统设计**:网关舱体通信系统集成了天通卫星、数传电台、4G...
基于软件定义的时间敏感网络跨域调度机制.docx
05-29
总之,基于软件定义的时间敏感网络跨域调度机制为解决跨域通信中的实时性和确定性问题提供了有效的解决方案。通过结合先进的时钟同步技术和软件定义网络技术,该机制能够确保在复杂网络环境下时间敏感数据流的高效...
安全技术-网络信息-面向DREAM结构的光网络信令方案与跨域业务恢复策略研究.pdf
04-28
为了解决这一问题,本文研究了面向DREAM(Dual Routing Engine Architecture in Multi-layer/Multi-domain/Multi-constraint optical networks)结构的光网络信令方案与跨域业务恢复策略。DREAM结构是一种双路由引擎...
子域名搜集思路与技巧梳理
wjy397的专栏
10-25 5069
http://www.2cto.com/article/201610/557586.html 前言 本文适合Web安全爱好者,其中会提到8种思路,7个工具和还有1个小程序,看本文前需要了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。 1、Web子域名猜测与访问尝试 最简单的一种方法,对于 Web 子域名来说,猜测一些可能的子域名,然后浏览器访问下
网络—— 解决跨域的几个办法(jsonp)
weixin_41265663的博客
09-23 341
1、flash 2、服务器代理中转(服务器之间不存在同源策略) 3、Jspon 原理: src 属性的标签都拥有跨域的能力,比如script/img/iframe; 数据放在服务器上,数据格式为json; 定义好处理跨域获取数据的函数 function funcName(data) {}; 用src 获取数据时添加一个参数cb = ‘funcName’; 4、设置相同的documen...
Django Nginx+uwsgi 安装配置
最新发布
lly202406的博客
10-02 206
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
使用 Docker 构建 LLaMA-Factory 环境
GDHBFTGGG的博客
10-01 900
使用 Docker 构建 LLaMA-Factory 环境可以简化依赖安装和环境配置。
5G网络切片中的跨域虚拟网络映射策略——DPSO-K算法
"这篇论文探讨了5G网络切片中基于离散粒子群优化算法(DPSO)和Kruskal算法的跨域虚拟网络映射策略。针对5G移动通信网络中多基础设施提供商间的协作需求,提出了一个两阶段的跨域映射策略DPSO-K。该策略首先通过资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值