为什么要跨域

最新推荐文章于 2024-08-18 19:14:28 发布
最新推荐文章于 2024-08-18 19:14:28 发布
阅读量3.2k 收藏 16
点赞数 6
文章标签: php javascript ViewUI
原文链接:https://juejin.im/post/5c625e6d518825626463ad9c
版权

为什么要跨域

首先了解什么是跨域

跨域就是一个域名请求另外一个域名的资源,例如www.a.com网站请求www.b.com/b.js javascript文件,这就是跨域。
既然跨域是一个域名到另外一个域名,那么我们先了解一下什么是“同域”,也就是所说的同源策略。

什么是同源策略

简单来说同源指的是"协议+域名+端口"三者相同,同源策略实际上是浏览器限制一个域名与另外一个域名的资源的交互的规则。例如:

  1. www.a.comwww.a.com 它们不是同源,协议不一样。
  2. www.a.comwww.b.com 它们不是同源,域名不一样。
  3. www.a.comwww.a.com:8080 它们不是同源,端口不一样。
  4. 更多例子请看

那么为什么浏览器要有这种规则呢?规则就是为了维护秩序,那同源策略就是为了维护浏览器web世界的秩序。那具体有什么东西会威胁web世界的稳定呢?

Web常见攻击手段
  1. XSS 攻击
  2. CSRF 攻击
  3. SQL 注入
  4. DDOS 攻击
  5. SYN 攻击

因为同源策略主要防范的就是CSRF攻击,所以这里只对CSRF攻击展开介绍,以及讲述为什么同源策略能够限制CSRF攻击。

假如没有同源策略

我们来设想一下

  1. 有一个网站域名为www.a.com的A网站,在该网站里面放置一个域名为www.b.com的B网站的iframe,并且该iframe 100% 宽度高度
  2. 用户在不知道域名的情况下访问了A网站,但他以为是访问了B网站,所以正常登录了B网站
  3. 这时A网站通过document.querySelector('iframe').contentWindow.document.cookie脚本就能获得该用户在B网站下的cookie,并且可以随意冒充该用户了。

是不是很危险??而现实情况呢,由于同源策略的存在,当A网站试图获取B网站的cookie的时候,浏览器会提示一个错误。例子

Uncaught DOMException: Blocked a frame with origin "fiddle.jshell.net" from accessing a cross-origin frame.

同理除了不能获取cookie,同源策略也限制的DOM节点的访问,因为与其获取cookie,直接监控input输入框,获取用户的账号密码岂不是更简单。

总结

由上面所述,由于同源策略的存在,浏览器限制了跨域获取cookie,也限制了跨域DOM节点的访问,有效的防止的CRSF攻击。当然发起CRSF攻击还有其它手段。

转载于:https://juejin.im/post/5c625e6d518825626463ad9c

weixin_34198453
关注
SpringBoot 跨域问题的解决方案
08-25
为什么要跨域跨域是为了安全考虑,浏览器的同源策略限制,主要是为了防止恶意攻击,例如, token 的盗用。现在的安全框架,一般请求的时候 header 中不是都存个 token 吗?你要是用这个 token 去正常访问 A 域下的...
Vue中跨域及打包部署到nginx跨域设置方法
01-19
为什么要实现前端跨域 一般来讲,前后端分离的项目在大公司都会由后台设置允许跨域访问,因为后台设置允许跨域是很简单和方便的,但是某些情况下,一些小公司或者你工作的场所后台不怎么配合的情况下,这就需要前端来配置...
跨域(重要)
JankoY的博客
01-30 136
同源策略 浏览器故意设计的一个功能限制,不同源的页面之间,不能互相访问数据。 同源策略限制的是数据访问,引入并不限制 同源 源: window.origin 或 location.origin 可以得到当前源 源 = 协议 + 域名 + 端口号 两个URL: 协议 +域名 + 端口号 完全一致,这两个URL就是同源的 同源策略 浏览器规定: 如果JS运行在源A里,只能获取源A的数据,不能获取源B的数据,即不允许跨域 目的是防止其他开发者获取/篡改你的数据 CORS 突破浏览器限制的一个方法 A和B都是
什么是跨域?为什么会产生跨域?怎么解决跨域
最新发布
z16638522031的博客
08-18 253
跨域,即跨域资源共享(CORS,Cross-Origin Resource Sharing),是一个W3C标准,它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。简单来说,跨域就是浏览器的同源策略导致来自不同源的脚本在没有明确授权的情况下,不能读写对方的资源。3.代理服务器:在服务器端设置代理服务器,客户端所有的请求都先发到代理服务器上,然后由代理服务器去请求真正的资源,最后把请求结果返回给客户端。4.Nginx反向代理:通过Nginx设置反向代理,将跨域的URL映射到允许的域上,实现跨域访问。
什么是跨域,为什么会跨域
m0_74359467的博客
12-19 521
同源策略要求网页只能与同一源的资源进行交互,而不能直接访问其他源的资源。如果浏览器允许跨域访问,那么恶意网站可能利用这个漏洞来窃取用户的敏感信息,如Cookie、登录凭证等,或者进行CSRF(Cross-Site Request Forgery)攻击。跨域(Cross-Origin)指的是在Web开发中,一个网页的资源(例如脚本、样式表、图片等)请求另一个源的资源时,两个源的协议、域名或端口不相同。通过CORS头部,服务器可以告诉浏览器是否允许来自其他源的请求,并可以指定哪些请求方法、请求头和源是允许的。
什么是跨域?为什么会出现跨域?
m0_58487904的博客
08-04 300
首先,先声明一下,此文章是给一些新手程序员看的,干货满满,如果大佬路过,希望多多指点! 感谢! 相信有很多朋友对跨域有些疑问,那在这我就简述一下关于跨域的一些知识! 阅读本文前,希望你有一定的 JS/Node 基础,如果不了解,可以先去看看前面的知识 最近在面试的时候常被问到一些跨域的知识,比如:什么是跨域?为什么会出现跨域?跨域如何解决等等,看了网上的一些文章,发现很多都没有写的清楚明白,要么就是过于有深度理解不了,所以我今天整理了一下常用的跨域知识,今天先说一下什么是跨域,跨域为什么出现,至于解决跨
什么是跨域,为什么会有跨域?
封情丶L的博客
05-11 590
跨域:浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 为什么会有跨域: 在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问题。在请求的过程中我们要想回去数据一般都是post/get请求,所以跨域问题出现;跨域问题来源于JavaScript的同源策略,即只有 协议+主机名+端口号(如存在)相同,则允许相互访问。也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源。跨域问题是针对JS和ajax的,html本身没有跨域问题,
H5的video标签跨域.HTML的video标签跨域_跨域ajax
12-24
H5的video标签跨域.HTML的video标签跨域 我们都知道HTML video标签能播放视频 但是如果你的video要播放的是非当前域名下的视频文件,这就要跨域播放视频, 应该如何实现呢?
Cesium加载Geoserver跨域问题
10-15
首先,理解“跨域”是什么至关重要。在Web开发中,跨域是指一个域下的文档或脚本尝试请求另一个域下的资源。由于浏览器的同源策略,这种行为通常被阻止,除非服务器允许跨域请求。在Cesium与Geoserver的场景下,如果...
什么是跨域?为什么要跨域?以及json跨域
weixin_67846341的博客
04-12 312
什么是跨域?为什么要跨域?以及json跨域
跨域问题
Angela_L的博客
11-21 235
1.跨域:浏览器对于JavaScript的同源策略的限制 一下情况都属于跨域跨域原因说明 实例 域名不同 www.jd.com与www.taobao.com 域名相同,端口不同 www.jd.com:8080与www.jd.com:8081 二级域名不同 item.jd.com与miaosha.jd.com 协议不一样 http与https 如果域名和端口都相同...
什么是跨域?为什么会有跨域?解决跨域方法。
z611739的博客
10-13 742
一、什么是跨域? 在了解什么是跨域的时候,我们首先要了解一个概念,叫同源策略,什么是同源策略呢,就是我们的浏览器出于安全考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。 1. 同源策略的含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同 2.同源.
前端跨域详解
liuyang1106的博客
10-21 371
跨域造成的原因 1.浏览器限制(同源策略) 同源策略的解释有很多,我这里贴上阮一峰老师的解释地址,有兴趣可以去看看阮一峰同源策略,用一句话解释就是,协议相同,端口相同,域名相同。比如下面这个url,https://www.baidu.com:443,使用的是https协议,域名是www.baidu.com,端口是443。当三者有一者不同,则会触发浏览器的同源策略,也就是通常所说的跨域。 2....
跨域的产生原因及解决方案
weixin_38230631的博客
05-27 1万+
1、跨域的原因 跨域是是因为浏览器的同源策略限制,是浏览器的一种安全机制,服务端之间是不存在跨域的。 所谓同源指的是两个页面具有相同的协议、主机和端口,三者有任一不相同即会产生跨域。 2、跨域举例 3、跨域的解决办法 3.1 浏览器限制 既然跨域是浏览器的一种安全限制,那是否可以让浏览器不做跨域限制呢?答案是肯定的,我们设置浏览器禁止检查--disabled-web-security --user-data-dir,重新打开浏览器,会发现在浏览器顶部提示: ![image-20200.
什么是跨域以及为什么会出现跨域以及跨域的解决方案
热门推荐
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
什么是跨域?——详解跨域问题及其解决方案
fudaihb的博客
07-06 8876
跨域问题是Web开发中常见且令人困扰的问题之一。理解跨域的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍跨域的概念、产生原因、常见的跨域解决方案,并提供详细的代码示例,帮助读者深入理解跨域问题及其应对方法。
cookie为什么不能跨域
11-12
Cookie不能跨域是因为浏览器的同源策略。同源策略是浏览器的一种安全机制,它要求一个域名下的文档或脚本只能与同域名下的资源进行交互,而不能与其他域名下的资源进行交互。这是为了防止恶意网站窃取用户的信息。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值