同源策略禁止读取位于_浏览器同源策略

最新推荐文章于 2024-06-24 22:10:14 发布
最新推荐文章于 2024-06-24 22:10:14 发布
阅读量698 收藏
点赞数
文章标签: 同源策略禁止读取位于 嵌入iframe 浏览器出现400错误 已拦截跨源请求:同源策略禁止读取位于

4a8b72c8b1cf203ab7a40e8b6780997f.png

同源策略是浏览器安全的基石,它限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,本文主要介绍同源策略的各个方面。

概述

1995年,同源策略由Netscape公司引入浏览器,目前所有的浏览器都实行这个策略。

定义

同源指的是一下相同:

  • 协议相同:同为http或https
  • 域名相同
  • 端口相同

约束

  • 允许跨域写操作(Cross-origin writes)。例如链接,重定向以及表单提交。特定少数的HTTP请求需要添加preflight。
  • 允许跨域资源嵌入(Cross-origin embedding)。
  • 不允许跨域读操作(Cross-origin reads)。

以下是可能嵌入跨源的资源的一些示例:

  • <script src="..."></script> 标签嵌入跨域脚本
  • <link rel="stylesheet" href="..."> 标签嵌入CSS
  • <img>嵌入图片。支持的图片格式包括PNG,JPEG,GIF,BMP,SVG,...
  • <video><audio>嵌入多媒体资源
  • <object>, <embed><applet> 的插件
  • @font-face 引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)
  • <frame><iframe> 载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。

跨源数据存储访问

不同源,以下行为会收到限制:

  • Cookie,localStorage, IndexedDB无法读取
  • DOM无法获得
  • Ajax请求发送后被浏览器拦截(并不一定是浏览器限制了发起跨站请求,也可能是跨站请求可以正常发起,但是返回结果被浏览器拦截了)

注:不管使用哪个协议(HTTP/HTTPS)或端口号,浏览器都允许给定的域以及其任何子域名(sub-domains) 访问 cookie。设置 cookie 时,你可以使用Domain,Path,Secure,和Http-Only标记来限定其访问性。

跨源脚本API访问

Javascript的APIs中,如 iframe.contentWindow, window.parent, window.openwindow.opener 允许文档间直接相互引用。当两个文档的源不同时,这些引用方式将对 Window 和 Location对象的访问添加限制。

Window

允许以下对 Window 属性的跨源访问:

方法window.blurwindow.closewindow.focuswindow.postMessage

属性 window.closed.window.frames.window.length.window.location.window.opener.window.parent.window.self.window.top.window.window

Location

允许以下对 Location 属性的跨源访问:

方法location.replace

属性 URLUtils.href只写.

如何允许跨源访问

参考整理的另一篇文章 跨域方式

参考

https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

weixin_39644139
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析Nginx实现AJAX跨域请求问题
12-02
在AJAX请求中,由于同源策略的限制,一个域上的网页通常不能请求另一个域上的资源。然而,通过正确配置Nginx服务器,我们可以允许特定或所有域进行跨域请求。 Nginx是一个高性能的HTTP和反向代理服务器,它可以在...
浏览器跨域问题解约源代码
11-29
同源策略规定,一个页面只能读取来自同一协议、同一域名、同一端口的资源。 当使用AJAX请求调用第三方接口时,如果请求的目标URL与当前页面的URL不符合同源策略浏览器将阻止这次请求,导致所谓的“跨域问题”。...
火狐已拦截跨源请求:同源策略禁止读取位于 ,CORS跨域
03-02 5551
浏览器是网页的渲染着和执行者,为了安全,浏览器默认是不允许跨源请求的,即CORS跨域(跨域资源共享,Cross-Origin Resource Sharing)的,也就是说默认不允许从来自于A服务器上的页面中访问B服务器上的资源。
已拦截跨源请求:同源策略禁止读取位于 file:///modify-table 的远程资源。(原因:CORS 请求不是 http)续上一篇文章的解决方法
qq_63170044的博客
06-24 383
这个错误是由于CORS(跨源资源共享)策略导致的,因为浏览器不允许前端代码从file:///协议访问。为了避免这个问题,你需要使用HTTP服务器来提供HTML文件。你可以使用Node.js中的Express来同时提供HTML文件和处理API请求。以下是完整的示例,包括提供HTML文件的部分。
浏览器报“已拦截跨源请求:同源策略禁止读取位于XXX的远程资源(CORS 请求不是 http)”
sfan0919的博客
07-20 8369
起因是pytest+allure谷歌浏览器打开测试报告后显示404 查看console可看到是因为跨域问题 –解决办法: 火狐浏览器设置步骤: 1.进入火狐配置页进行设置 ,地址栏输入"about:config" 2.点击”我了解此风险”后进入页面 3.搜索”security.fileuri.strict_origin_policy”,并设置该项为false 4.重启浏览器,可以跨域访问 谷歌浏览器: 不支持,别浪费力气了 ———————————————— 版权声明:解决办法为CSDN博主「老裆益壮☭」
已拦截跨域请求 浏览器_浏览器拦截跨域请求处理方法(已阻止跨源请求:同源策略禁止读取远程资源)...
weixin_29313547的博客
12-24 1426
浏览器请求中,出现跨域访问资源的问题,我们肯定会遇到。如果跨域请求被阻止,有可能导致css、js 、ajax请求、font字体等资源出现无法正常访问的问题。接下来,就介绍下解决同源策略不允许读取远程资源的问题。今天就谈下远程字体跨域的问题。直接了当了说,解决此类问题,最直接的方法就是,就是给被请求的服务器,添加HTTP头响应头,这里提供两种添加HTTP头的方法:第一种,就是在程序中添加HTTP头...
火狐浏览器报错:已拦截跨源请求:同源策略禁止读取位于...的远程资源(CORS 请求不是 http)
shiGXW的博客
01-23 1万+
访问本地的json文件时出错,已拦截跨源请求:同源策略禁止读取位于 file:///I:/IDEA_VueStudy/demo/data.json 解决方法: 第一步:地址栏输入:about:config,回车,点击”接受风险并继续”后进入页面 第二步:搜索:security.fileuri.strict_origin_policy,并设置该项为false 最后,重启浏览器,就不会再报跨源错误了。 ...
【极简 亲测】已拦截跨源请求:同源策略禁止读取位于....的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)
Yonggie的博客
07-19 3325
可以用插件或者配置解决
已阻止跨源请求:同源策略禁止读取位于
热门推荐
星马殇
09-17 3万+
解决方法--由于我的是PHP项目,在第二个页面/方法中,就是被请求的方法加入如下代码:Header("Access-Control-Allow-Origin: * ");Header("Access-Control-Allow-Methods: POST, GET, OPTIONS, PUT, DELETE");再试就OK了第一个页面用 ajax 同一网段内请求第二个页面时,200成功了,但浏览器...
【已解决】已拦截跨域请求:同源策略禁止读取位于接口的远程资源:原因:CORS缺少Access-Contorl-Allow-Origin
~牧马~
11-12 1万+
前后端开发跨域问题问题记录前端新手配置:有问题老手配置:正常后端新手配置:有问题老手配置:正常总结 问题记录 今天笔者有一次遇到前后端跨域问题,下面小编详细的记录下整个过程: 环境是:后端在公司,前端在远程,两人协同开发 后端写好接口,并发布在外网后,接下来就是远程前端的对接接口阶段,前端在配置接口时,配置成功,在测试访问时,浏览器报“已拦截跨域请求:同源策略禁止读取位于接口的远程资源:原因:CORS缺少Access-Contorl-Allow-Origin”问题,错误提示是“cors跨域问题”,后端看到只
解决{已拦截跨源请求:同源策略禁止读取位于 xxx 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-O)}
qq_51435233的博客
02-02 2万+
看到CORS 头缺少 'Access-Control-Allow-O这个就知道自己跨域了,跨域是指你违背了同源策略同源策略规定了三个东西一致:协议名、主机名、端口号。 比如:http://localhost:8080/发送ajax请求到http://localhost:8090/服务器,服务器收到了请求,并把数据返回给http://localhost:8080/,但是流浪器没有进一步的给你,因为发现这哥们跨域了,算了,这数据我握在手里了,不给你了,这就是跨域。(这里一定要注意:请求发了,服务器收了,还返
浏览器控制台 已拦截跨源请求 同源策略禁止读取位于XXXX
qq_35976548的博客
03-29 766
问题:Vue项目浏览器端不断请求sockjs.js-node/info?XXX 原因: SockJS 是一个 JavaScript 库(用于浏览器),提供类似 Web 套件的对象。SockJS 为我们提供一个连贯的跨浏览器 Javascript API,它在浏览器和 Web 服务器之间创建一个低延迟、全复式、跨域通信通道,无论是否具有 Web 套件。这就需要使用服务器,这是node.js的一个版本。 我们没有用到该sockjs-node功能,但启动时会默认连续发请求调用本地接口。 解决: 找到node_m
【JavaScript源代码】解决vue $http的get和post请求跨域问题.docx
12-30
这是因为浏览器同源策略,它是一项安全措施,防止恶意网站读取敏感数据。然而,在开发环境中,我们经常需要在本地服务器上运行前端应用并连接到远程API,这就导致了跨域问题。 解决跨域问题的一种常见方法是在...
test_cors
02-12
同源策略禁止了不同源的页面之间共享资源,比如JavaScript不能访问或修改不同源的HTML元素,不能读取其Cookie、LocalStorage等。但随着Web应用的发展,这种限制变得过于严格,CORS应运而生,为跨域请求提供了一种...
JavaScript Chrome浏览器获取本地图片的属性
11-14
1. **Chrome浏览器同源策略**:同源策略浏览器为了保护用户隐私和安全而实施的一项安全政策,它禁止同源的脚本之间共享数据。由于本地文件系统与Web服务器的源并不相同,因此默认情况下JavaScript无法直接访问...
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
vue同源策略禁止读取跨域请求
06-02
是的,Vue同源策略禁止读取跨域请求。同源策略浏览器的一种安全机制,它限制了一个源的文档或脚本如何能够与另一个源的资源进行交互。如果两个资源不是同源(即协议、域名、端口号有任何一个不同),则默认情况下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值