跨域现象及原理分析

最新推荐文章于 2024-03-18 16:05:16 发布
最新推荐文章于 2024-03-18 16:05:16 发布
阅读量371 收藏
点赞数
文章标签: c# 运维 前端 ViewUI
原文链接:http://www.cnblogs.com/xiohao/p/11608809.html
版权

前端对Cross-Origin Resource Sharing 问题(CORS,中文又称'跨域')应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对这个问题的总结,二是nginx下如何配置服务器允许跨域。
<!-- more -->

同源策略

同源指的是域名(或IP),协议,端口都相同,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。

同源的判定:
http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源:(原因里未申明不同的属性即说明其与例子里的原链接对应的属性相同)

链接结果原因
http:// www.example.com /dir/page2.html同协议同域名同端口
http:// www.example.com /dir2/other.html同协议同域名同端口
http://user:pwd@ www.example.com/dir2/other.html同协议同域名同端口
http://www.example.com: 81/dir/other.html端口不同
https://www.example.com/dir/other.html协议不同端口不同
http:// en.example.com/dir/other.html域名不同
http:// example.com/dir/other.html域名不同(要求精确匹配)
http:// v2.www.example.com/dir/other.html域名不同(要求精确匹配)
http://www.example.com: 80/dir/other.html不确定取决于浏览器的实现方式

是否允许跨域的判定

前文提到了同源策略的判定,然而同源策略在加强了安全的同时,对开发却是极大的不便利。因此开发者们又发明了很多办法来允许数据的跨域传输(常见的办法有JSONPCORS)。当域名不同源的时候,由于跨域实现的存在,浏览器不能直接根据域名来判定跨域限制。那么浏览器具体又是如何实现判定的呢?看下面的例子。

环境说明

  1. 参与实验的前端域名三个有:http://www.zhihu.comhttp://segmentfault.com
    http://localhost

  2. 请求的服务器端地址为http://localhost/city.json,服务器解析引擎使用的nginx,且服务器只配置了允许来自http://segmentfault.com的跨域请求

  3. 检测方法:在各个域名下利用chrome浏览器的console界面模拟发送ajax请求,代码如下:

    1.  
      var xhr = new XMLHttpRequest();
    2.  
      xhr.open( 'GET', 'http://localhost/city.json',true);
    3.  
      xhr.send();

实验过程

  1. http://localhost域名下,请求成功。

    服务器回应的http文件头如下:
    1.  
      HTTP/1.1 200 OK
    2.  
      Server: nginx/1.6.2
    3.  
      Date: Sun, 05 Jul 2015 17:44:06 GMT
    4.  
      Content-Type: application/octet-stream
    5.  
      Content-Length: 2084
    6.  
      Last-Modified: Sat, 18 Apr 2015 06:20:12 GMT
    7.  
      Connection: keep-alive
    8.  
      ETag: "5531f79c-824"
    9.  
      Access-Control-Allow-Credentials: true
    10.  
      Access-Control-Allow-Methods: GET, POST, OPTIONS
    11.  
      Accept-Ranges: bytes

  2. http://segmentfault.com域名下,请求成功

    服务器回应的http文件头如下:
    1.  
      HTTP/1.1 200 OK
    2.  
      Server: nginx/1.6.2
    3.  
      Date: Sun, 05 Jul 2015 18:17:27 GMT
    4.  
      Content-Type: application/octet-stream
    5.  
      Content-Length: 2084
    6.  
      Last-Modified: Sat, 18 Apr 2015 06:20:12 GMT
    7.  
      Connection: keep-alive
    8.  
      ETag: "5531f79c-824"
    9.  
      **Access-Control-Allow-origin: http://segmentfault.com**
    10.  
      Access-Control-Allow-Credentials: true
    11.  
      Access-Control-Allow-Methods: GET, POST, OPTIONS
    12.  
      Accept-Ranges: bytes

  3. http://www.zhihu.com下,请求失败
    虽然都是失败,但是返回的HTTP文件头内容会视服务器是否有配置跨域请求而发生变化

服务器允许跨域请求

(仅允许来自http://segmentfault.com的跨域请求)
console.log窗口提示:

XMLHttpRequest cannot load http://localhost/city.json. The 'Access-Control-Allow-Origin' header has a value 'http://segmentfault.com' that is not equal to the supplied origin. Origin 'http://www.zhihu.com' is therefore notallowed access.

服务器回应的http文件头如下:

  1.  
    HTTP/1.1 200 OK
  2.  
    Server: nginx/1.6.2
  3.  
    Date: Sun, 05 Jul 2015 17:59:25 GMT
  4.  
    Content-Type: application/octet-stream
  5.  
    Content-Length: 2084
  6.  
    Last-Modified: Sat, 18 Apr 2015 06:20:12 GMT
  7.  
    Connection: keep-alive
  8.  
    ETag: "5531f79c-824"
  9.  
    Access-Control-Allow-origin: http://segmentfault.com
  10.  
    Access-Control-Allow-Credentials: true
  11.  
    Access-Control-Allow-Methods: GET, POST, OPTIONS
  12.  
    Accept-Ranges: bytes
服务器不允许任何跨域请求

console.log窗口提示:

XMLHttpRequest cannot load http://localhost/city.json. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.zhihu.com' is therefore not allowed access.

服务器回应的http文件头如下:

  1.  
    HTTP/1.1 200 OK
  2.  
    Server: nginx/1.6.2
  3.  
    Date: Sun, 05 Jul 2015 17:51:29 GMT
  4.  
    Content-Type: application/octet-stream
  5.  
    Content-Length: 2084
  6.  
    Last-Modified: Sat, 18 Apr 2015 06:20:12 GMT
  7.  
    Connection: keep-alive
  8.  
    ETag: "5531f79c-824"
  9.  
    Access-Control-Allow-Credentials: true
  10.  
    Access-Control-Allow-Methods: GET, POST, OPTIONS
  11.  
    Accept-Ranges: bytes

跨域的判定流程

zhihu页面的两次浏览器报错以及segmentfault的成功返回值来看,可以很容易得出浏览器和服务器的合作判定步骤如下:

  1. 浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。

  2. 服务器解析程序收到浏览器跨域请求后,根据自身配置返回对应文件头。若未配置过任何允许跨域,则文件头里不包含Access-Control-Allow-origin字段,若配置过域名,则返回Access-Control-Allow-origin对应配置规则里的域名的方式

  3. 浏览器根据接受到的http文件头里的Access-Control-Allow-origin字段做匹配,若无该字段,说明不允许跨域;若有该字段,则对字段内容和当前域名做比对,如果同源,则说明可以跨域,浏览器发送该请求;若不同源,则说明该域名不可跨域,不发送请求

(但是不能仅仅根据服务器返回的文件头里是否包含Access-Control-Allow-origin来判断其是否允许跨域,因为服务器端配置多域名跨域的时候,也会出现不能跨域的域名返回包里没有Access-Control-Allow-origin字段的情况。下文配置说明里会讲。)

配置服务器实现跨域传输

前面讲到了同源策略的基本判定,以及浏览器实现跨域判断的方式,那么,如何在服务器端做配置来允许跨域传输呢?下文将以Nginx为例,讲一下三种情况下的配置。

配置项解析

CORS常用的配置项有以下几个:

  • Access-Control-Allow-Origin(必含) – 允许的域名,只能填通配符或者单域名

  • Access-Control-Allow-Methods(必含) – 这允许跨域请求的http方法(常见有POSTGETOPTIONS

  • Access-Control-Allow-Headers(当预请求中包含Access-Control-Request-Headers时必须包含) – 这是对预请求当中Access-Control-Request-Headers的回复,和上面一样是以逗号分隔的列表,可以返回所有支持的头部。

  • Access-Control-Allow-Credentials(可选) – 该项标志着请求当中是否包含cookies信息,只有一个可选值:true(必为小写)。如果不包含cookies,请略去该项,而不是填写false。这一项与XmlHttpRequest2对象当中的withCredentials属性应保持一致,即withCredentials为true时该项也为true;withCredentials为false时,省略该项不写。反之则导致请求失败。

  • Access-Control-Max-Age(可选) – 以秒为单位的缓存时间。预请求的的发送并非免费午餐,允许时应当尽可能缓存。

具体配置举例

全域名或者单域名允许跨域

这个最省心
打开Nginx的配置文件(默认为nginx.conf)。找到对应域名设置的local配置部分。
添加以下内容:

  1.  
    add_header 'Access-Control-Allow-origin' 'http://www.example.com';
  2.  
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

添加的域名必须带http://协议头(否则服务器无法区分是http还是https),如果接受所有域名的跨域请求,则可以用*(安全性有问题,不推荐)

添加多域名跨域配置

如果允许跨域的域名有多个但出于安全问题又不想配置全域名通配的时候,就可以用到nginx里的if判断了。
添加如下内容:

  1.  
    if ($http_origin = 'http://segmentfault.com' ) {
  2.  
    add_header 'Access-Control-Allow-Origin' "$http_origin";
  3.  
    }
  4.  
    if ($http_origin = 'http://localhost:4000' ) {
  5.  
    add_header 'Access-Control-Allow-Origin' "$http_origin";
  6.  
    }
  7.  
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

  • 如果对正则比较熟悉的,可以直接用正则来匹配条件判断,不需要用if这么麻烦的方式。

    • 'Access-Control-Allow-Methods' 允许多参数,'Access-Control-Allow-origin'不允许多参数,所以只能是条件语句判断要不要加这个。这也是我前面提到的为什么即使HTTP文件头返回值里没有'Access-Control-Allow-origin',也不能说明它就是不允许跨域的。

    • nginx配置文件的http配置部分不能用if条件语句,所以多域名的时候必须加在local部分内。另外加在local内的只对对应的服务器域名做跨域请求的配置,加在http里会让跑在该nginx下的所有网站都统一采取这种配置。

    • Access-Control-Allow-Origin也可以改成全小写的形式,不影响结果.(access-control-allow-origin也可以)

 

 

 

 

  参考链接:https://blog.csdn.net/zmx729618/article/details/53319383

       https://www.cnblogs.com/shihaiming/p/9544060.html

转载于:https://www.cnblogs.com/xiohao/p/11608809.html

weixin_38169359
关注
对比学习在跨域学习中的应用
AI天才研究院
07-23 631
对比学习在跨域学习中的应用 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:对比学习,跨域学习,多模态学习,深度学习,迁移学习 1. 背
时间序列分析(Time Series Analysis) 原理与代码实例讲解
最新发布
AI天才研究院
07-21 836
时间序列分析(Time Series Analysis) - 原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:时间序列预测,ARIMA模型,状态空间模型,SARIMA模型,机器学习
【SpringCloud】浏览器跨域问题原理及实现解决方案(CORS)
JunsIr的技术栈
05-01 1172
【SpringCloud】浏览器跨域问题原理及实现解决方案(CORS) 在项目开发中,不可避免得出现了跨域问题,故此总结一下解决方案 项目:spirngcloud微服务项目 域名:使用nginx反向代理 跨域: 以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 ...
浏览器和服务器实现跨域(CORS)判定的原理
weixin_33958366的博客
09-06 567
前端对Cross-Origin Resource Sharing 问题(CORS,中文又称'跨域')应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对...
浏览器跨域
qq_36659384的博客
03-18 1470
一直对浏览器跨域一知半解,在查阅大量资料后写了本篇文章,帮助理解浏览器跨域
浏览器跨域详解
GuoZebin的博客
11-04 1万+
一.什么是跨域 跨域问题来源于浏览器的同源策略,浏览器为了提高网站的安全性,在发送ajax请求时,只有在当前页面地址与请求地址的协议+域名+端口号相同时才允许访问,否则会被拦截。 协议即通信协议,比如我们现在常见的http和https,如果当前页面地址使用http协议,请求的地址使用https协议,那么这个请求就存在跨域问题。 域名即网站网址,如baidu.com,360.com存在跨域。 ...
如何解决ajax跨域java,ajax跨域问题,从java角度解决
weixin_42561192的博客
08-06 510
前言今天给小伙伴开放一个接口方便调试数据,但是老是出现CROS策略阻塞,查询资料后知道了是ajax跨域引起的,以此记录此次解决问题的过程。什么是ajax跨域ajax跨域原理ajax出现请求跨域错误问题,主要原因就是因为浏览器的“同源策略”,可以参考浏览器同源政策及其规避方法(阮一峰)CORS请求原理CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sh...
ajax解决跨域的全面方案.docx
10-26
5. **如何分析Ajax跨域** 使用HTTP抓包工具(如Fiddler、Chrome DevTools的Network面板)可以查看请求和响应的详细信息,包括请求头、响应头、状态码等,有助于找出跨域问题所在。 总结,解决Ajax跨域问题需要理解...
关于浏览器中的跨域问题详解
weixin_61431071的博客
03-02 1273
跨域问题详解
浏览器:跨域及解决方法
热门推荐
snowball的博客
05-03 2万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同源网页的 DOM。
详解浏览器跨域
心雨先生
09-16 763
一、什么是跨域? JavaScript出于安全方面的考虑做的同源策略的限制,不允许跨域访问其他资源。通常跨域请求成功后,浏览器会拒绝响应服务器端返回的结果。 1.出于哪些方面的安全考虑? 同源政策的目的是为了防止恶意网站窃取用户数据信息冒充用户做一些操作。同源限制只是提高攻击成本。如果没有JavaScript同源限制: (1)CSRF攻击 (2)XSS攻击 2.什么是同源...
关于浏览器跨域请求的相关原理实现--很经典的博客
qq_27300101的博客
08-18 283
真正的原理可以参考:https://www.cnblogs.com/dojo-lzz/p/4265637.html ,该博客将其中的相关原理解释的很详细,提供了代码。 而且该博主对WebGL 也有研究
跨域原理
k0bin的博客
01-27 325
1. 简介 跨域,指浏览器对不同源(协议、域名、端口组成)之间进行资源访问的一种限制如下: 限制如下:        无法跨域请求资源        ajax无法跨域读取cookie、localStorage      &nbsp...
一文带你详解浏览器跨域
weixin_41663412的博客
03-15 357
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 一、什么是跨域? JavaScript出于安全方面的考虑做的同源策略的限制,不允许跨域访问其他资源。通常跨域请求成功后,浏览器会拒绝响应服务器端返回的结果。 1.出于哪些方面的安全考虑? 同源政策的目的是为了防止恶意网站窃取用户数据信息冒充用户做一些操作。同源限制只是提高攻击成本。如果没有JavaScript同源限制...
浏览器跨域问题
m0_45253204的博客
10-11 1927
浏览器跨域问题的原因及其前后端如何解决跨域问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值