ajax 跨域请求api_不得不讲的跨域

最新推荐文章于 2023-10-03 15:44:05 发布
最新推荐文章于 2023-10-03 15:44:05 发布
阅读量140 收藏
点赞数
文章标签: ajax 跨域请求api 跨域全域名访问的安全隐患

34a9ba6ec7bcabbade480437a8269e81.png

我的第一篇博客就从跨域说起,尝试着把自己所学习的分享给大家!

什么是跨域

  • 单是从字面意义上来讲的话, 跨是跨越种族、跨越性别…… 域是领域、域名。
  • 在说跨域之前呢想要先说下《同源策略》

何为同源?

官方给出的定义是:

如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“tuple". ("tuple" ,“元”,是指一些事物组合在一起形成一个整体,比如(1,2)叫二元,(1,2,3)叫三元)

那我们就可以理解为: 

以百度的网址举例: 

https://www.baidu.com:80/aa 

https:// 或者 http:// 协议

www.baidu.com 域名

80 端口

以上3者相同就是同源,如果有其中一个不同就是跨域

另外同源策略又分为以下两种:

  1. DOM 同源策略:禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况,不同域名的 iframe 是限制互相访问的。
  2. 策略:禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。

所以这样我们就可以明白为什么会有同源策略,由于浏览器的限制而产生的,浏览器有《同源策略》的限制 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。

  • SO! 什么是跨域的问题我们也就明白了, 跨域的产生就是由于 浏览器 同源策略的限制,限制了不能跨域访问 http请求

如何解决跨域问题

  • 俗话说的好,上有政策,下有对策。那么浏览器限制了我们的跨域请求,那如果我们需要访问不同源的时候该怎么办呢?还请跟我一起往下看~~

跨文档通信API: window.postMessage()

它可用于解决以下方面的问题:

  • 页面和其打开的新窗口的数据传递
  • 多窗口之间消息传递
  • 页面与嵌套的iframe消息传递
  • 上面三个场景的跨域数据传递
// 父窗口打开一个子窗口

调用message事件,监听对方发送的消息

// 监听message消息

JSONP

jsop是利用资源不跨域的特性,同源策略只是限制了xhr对象发送的请求,并没有限制资源加载,所以jsonp利用了这个特性可以解决浏览器的跨域(需要后端配合)

如何使用jsonp解决跨域:

1
  • 优点: 解决了跨域, 兼容
  • 缺点: 只能get请求, 不能捕获错误状态

cors 跨域资源共享

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

前端发送正常的http请求

$

服务端设置:

node实现:

app
  • 优点: 可以跨域 前端不需要做任何处理 正常ajax请求,不需要依赖其他特性
  • 缺点: 兼容性问题, 场景: 如果接口是共享接口,并且不需要关心ie低版本浏览器 适合移动端项目(接口域名和项目域名是分开)

PHP:

response

Nodejs中间件代理跨域

node中间件实现跨域代理,原理大致与nginx相同,都是通过启一个代理服务器,实现数据的转发,也可以通过设置cookieDomainRewrite参数修改响应头中cookie中域名,实现当前域的cookie写入,方便接口登录认证。

  1. 非vue框架的跨域(2次跨域)
var
  • 2.vue框架的跨域

(webpack.config.js)

module

代理

在开发项目的时候一般都是前后端分类,后端提供接口与,前端请求接口并且渲染页面,这个时候就会出现跨域问题。 在开发环境中前端项目是localhost, 而后端提供接口是 192.168.0.19:3000 但是项目上线后都变成了 http://www.baidu.com 统一域名,不存在跨域了,也就是开发环境中存在跨域,而生产环境没有跨域问题了,这个时候我们就可以使用代理的形式解决跨域

解决方案 利用了服务器不存在跨域的特性进行解决,(通过我自己本地服务端去代理请求跨域的接口,在通过我本地的服务返回给我本地页面)

正向代理 正向代理 是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。

module

反向代理

应用场景 开发环境下有跨域问题,部署到线上后就没有跨域

nginx反向代理接口跨域

通过nginx配置一个代理服务器(域名与demo1相同,端口不同)做跳板机,反向代理访问demo2接口,并且可以顺便修改cookie中demo信息,方便当前域cookie写入,实现跨域登录。

nginx具体配置:

#proxy服务器

好啦,今天就写到这里吧!可能有说的不准确或者不全面的地方,还请大家多多给予反馈,毕竟个人理解和学习的能力还是有限的。希望和大家一起学习,共同进步!!

鄙人在这里给大家劈个叉了~

weixin_39564036
关注
Ajax调用API接口跨域报错
qq_46040294的博客
03-24 762
错误描述: 在使用ajax调用api接口的时候,报错如下: Access to XMLHttpRequest at 'http://xxx.com/api/xxx' fromorigin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 错误代码如下: $(function() { $.post('http://xxx
ie8 jquery ajax 跨域访问,jQuery.Ajax IE8,9 无效(CORS跨域
weixin_36413247的博客
08-06 1091
今天在开发网站的时候,发现一个问题,$.ajax()在 IE8,9 浏览器不起作用,但 Chrome,Firefox ,360,IE10以上等浏览器却是可以的,网上资料很多,查询最后发现是 IE8,9 默认不支持 CORS 请求,需要手动开启下 代码如下:jQuery.support.cors = true; //写在$.ajax()前面用户这样设置:点击IE浏览器的的“工具->Inte...
ajax 跨域请求api_跨域的几种方式
weixin_39864261的博客
11-23 817
一、什么是跨域JavaScript出于安方面的考虑,不允许跨域调用其他页面的对象。那什么是跨域呢,简单地理解就是因为JavaScript同源策略的限制, a.com 域名下的js无法操作 b.com 或是 c.a.com 域名下的对象。当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。例如:http://www.abc.com/in...
ajax 跨域请求api_浏览器同源策略--跨域解决方案
weixin_39807859的博客
11-23 203
开发中一定会碰到的问题,前后端数据交互,请求跨域,然后请求被拦截。那么为什么会被拦截呢?下面就让我们一起来揭开浏览器同源策略的这层面纱。一、跨域跨域形成的原因是:违背了浏览器的同源策略,所以浏览器出于保护,会拦截请求。二、同源策略同源策略是一种约定,它是浏览器最核心也是最基本的安功能,如果缺少了同源策略,浏览器很容易受到XSS,CSRF等攻击。所谓源(origin)其实就是URL,指得就是:协议...
再也不用为跨域而苦恼
Wanguyunxiaodaniu的博客
06-07 899
前言 最近没时间写博客,只好把以前写的博客整理到自己的博客网站上去 跨域 跨域解决的方案有好几种,熟练掌握 CORS 就行了,并晓得一些原理。 jsonp 基本告别了,了解即可。 将前端的域与后端保持一致就行了,通过 nginx 代理转发。 什么情况下会跨域呢? 跨域是指从一个源去请求另一个源的资源,浏览器基于完考虑并遵循同源策略,禁止跨域访问。 但是我们可以通过一些手段 JSONP 或者 CORS来实现跨域跨域只会发生在浏览器中,后端服务之间的接口调用是没有跨域一说的。 简单理解:当 url 中的
深入理解跨域SSO单点登录原理与技术
weixin_34293059的博客
08-13 182
一:SSO体系结构 SSO ​ SSO英文称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 体系结构 ​ 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,...
AJAX跨域请求获取JSON数据的方法
最新发布
xinyuerr的博客
10-03 310
要了解 JSONP,不得不提一下 JSON,那什么是 JSON?JSONP(JSON with Padding) 是一个非官方的协议,它允许在服务器端集成 Script tags 返回至客户端,通过 javascript callback 的形式实现跨域访问(这仅仅是 JSONP 简单的实现形式)。
解决WCF寄宿于WINFORM的跨域请求问题
hlj1992的博客
04-08 2271
本人在项目中遇到的问题是这样的:WCF服务寄宿于Winfrom应用程序,通过public ServiceHost host = new ServiceHost(typeof(ByuWCFService.ByuDataService));host.Open();的方式来开启WCF服务,[OperationContract]等等的一系列注解实现了前端ajax请求访问服务端访问WCF服务;然后问题就来了...
利用nginx解决跨域问题的方法(以flask为例)
01-10
但是这样一个中间会使前端工程师的工作量乘上两倍,原本js可以直接ajax请求api,但是我们不得不ajax请求中间层,中间层再请求api。 如图:   为了少敲代码,提高工作效率,我们当然希望将python中间层砍掉,但是...
vue跨域解决方案websocket_前端跨域解决方案汇总
weixin_39658019的博客
12-20 2347
编者注:关于跨域的文章,之前分享过很多,来看看这篇前端跨域解决方案,由简及深介绍各种存在的跨域请求解决方案,包括 document.domain, location.hash, window.name, window.postMessage, JSONP, WebSocket, CORS。原文:hijiangtao.github.io同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行...
ajax 跨域请求api_这些年我们处理过的跨域
weixin_39724793的博客
11-22 122
同源策略在说跨域之前,我们需要先了解下 同源策略。它是一个规范(Netscape 1995年提出),并没有指定具体的使用范围和实现方式。为了保证使用者信息的安,防止恶意网站篡改用户数据,一些常见的Web技术都默认采用了同源策略(如Silverlight, Flash, XMLHttpRequest, Dom等)。那如何判断同源呢?1、相同的协议2、相同的域名3、相同的的端口号我们用一个表格来展示...
跨域整理
kaikai4的专栏
05-17 293
1. 跨域资源共享 CORS 对于web开发来,由于浏览器的同源策略,我们需要经常使用一些hack的方法去跨域获取资源,但是hack的方法总归是hack。直到W3C出了一个标准-CORS-”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 首先来说 CO
ajax跨域请求
Be a Man Keep fighting for destination
06-24 481
比较通用的有如下两种方式,一种是从服务器端下手,另一种则是从客户端的角度出发。二者各有利弊,具体要使用哪种方式还需要具体的分析。 服务器设置响应头服务器代理客户端采用脚本回调机制。 方式一 Access-Control-Allow-Origin Access-Control-Allow-Origin 关键字只有在服务器端进行设置才  会生效。 如果
AJAX 跨域调用 快递查询API接口
joeleemaster的专栏
04-12 2929
javascript默认是允许跨域操作的,比如a.com下不能操作b.com下的DOM,ajax也一样。但是javascript却允许从a.com从b.com引用js文件,JSONP正式跟据这个原理实现了跨域操作。下面这个例子是采用jQuery框架的getJSON方法,注意必须添加callback=?参数,其中的“?”系统会自动替换。 JSONP调用爱查快递API var _url='h
ajax 跨域请求api_vue跨域方案指北
weixin_39636176的博客
11-21 262
跨域是指违背了浏览器同源策略的限制简单的说,我们通常使用的请求工具都是基于XMLHttpRequest对象构建的,它是严格遵守同源策略的,所以当需要跨域时,基于它的工具就无法工作了,我们需要一些额外的手段来解决这个问题 本文主要对已知的几种跨域方案进行实践和总结一、jsonpjsonp虽然不是官方的跨域方案,但它是最早出现的跨域方案,另外不管你是怎么使用jsonp跨域,服务端支持这种跨域是前提。缺...
ajax 跨域请求api_跨域方法的若干种方式
weixin_39866741的博客
11-23 265
一、跨域的解释那什么是跨域呢,简单地理解就是因为JavaScript同源策略的限制, a.com 域名下的js无法操作 b.com 或是 c.a.com 域名下的对象。当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。域名必须要注意:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因...
Ajax跨域请求
YUELEI118的博客
07-05 2383
javaScript实现ajax jquery实现ajax ajax跨域请求 jsonp
ajax跨域系列--web api方式跨域
追风的世界很炫酷
03-29 2872
上一节到如何使用jsonp进行跨域请求api,这次我们用一些微软新的框架解决这个问题 web api是微软继web service ,wcf推出的新一代的服务提供框架 不多说了,用用看 首先一个基类,所有的controller继承此基类,里面有个无返回值的方法Options using System; using System.Collections.Generic; using
关于AJAX跨域调用web api问题汇总(一)
我心中的成功方式:比别人做得更多,想的更多。
09-17 4232
这几天在研究phonegap、phonegap利用了打包的方式将html页面打包在了apk之中,那么诸如登录、取新闻等数据从何而来来?既然我们开发的web应用,肯定ajax是我们的主角,于是问题就产生了,本地文件 请求  www.mywebapi.com 去调用数据,这时候是百分之百会存在跨域的,就这些跨域问题,本人研究了几天,网上的也是天花乱坠,但是很多经过我自己的实验,我没有办法达到我们想要的
Ajax跨域请求实现:JSP与后台交互示例
"本文介绍了如何在JSP页面中使用Ajax进行跨域请求的实践案例,包括jQuery的使用和后台控制器的处理方法。" 在Web开发中,由于浏览器的同源策略限制,JavaScript通常不能直接访问不同域名下的资源。然而,为了实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值