同源和跨域的相关问题

最新推荐文章于 2023-04-19 18:07:51 发布
最新推荐文章于 2023-04-19 18:07:51 发布
阅读量239 收藏
点赞数 1
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42394911/article/details/119895911
版权

文章目录

一、同源

1.同源的定义

Web内容的源由用于访问它的URL 的方案(协议),**主机(域名protocol)端口(port)**定义。只有当方案,主机和端口都匹配时,两个对象具有相同的起源,那么这两个 URL 是同源。
这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。

2.同源策略

同源策略即:同一协议,同一域名,同一端口号。当其中一个不满足时,我们的请求即会发生跨域问题。

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

二、跨域

1.跨域的操作

同源策略控制不同源之间的交互,例如在使用XMLHttpRequest 或 标签时则会受到同源策略的约束。这些交互通常分为三类:

跨域写操作(Cross-origin writes)一般是被允许的。例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加 preflight。

跨域资源嵌入(Cross-origin embedding)一般是被允许

跨域读操作(Cross-origin reads)一般是不被允许的,但常可以通过内嵌资源来巧妙的进行读取访问。例如,你可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法,或availability of an embedded resource.

2、如何解决跨域访问

1、cors方式
可以使用 CORS 来允许跨源访问。CORS 是 HTTP 的一部分,它允许服务端来指定哪些主机可以从这个服务端加载资源。

2、jsonp方式
ajax请求受同源策略影响,不允许进行跨域请求,而script标签src属性中的链接却可以访问跨域的js脚本,利用这一特性,服务端不再返回JSON格式的数据,而是返回一段调用某个函数的js代码,在src中进行了调用,通过这样的方式实现了跨域。

3、如何阻止跨域访问

1、 阻止跨域写操作,
只要检测请求中的一个不可推测的标记(CSRF token)即可,这个标记被称为 Cross-Site Request Forgery (CSRF) 标记。你必须使用这个标记来阻止页面的跨站读操作。

2、 阻止资源的跨站读取
需要保证该资源是不可嵌入的。阻止嵌入行为是必须的,因为嵌入资源通常向其暴露信息。

3、阻止跨站嵌入
需要确保资源不能通过以上列出的可嵌入资源格式使用。浏览器可能不会遵守 Content-Type 头部定义的类型。
例如,如果在HTML文档中指定 <script>标记,则浏览器将尝试将标签内部的 HTML 解析为JavaScript。 当您的资源不是您网站的入口点时,您还可以使用CSRF令牌来防止嵌入。

黑马嘎
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浏览器同源跨域概念
H4ppyD0g的博客
10-16 520
浏览器的同源策略是为了实现不同源的tab页(一个tab就是浏览器中一个标签页)之间相互隔离的一种安全策略。 可以理解为一个源内的脚本只能作用与本源内的资源,无法访问其他源的资源。 同源是指:协议、域名、端口都相同。这是一个三元组,源和域是一个意思。 非同源就是其中任何一个不相同。 非同源的限制,跨域限制主要的目的就是为了用户的上网安全 不能读取 cookie 无法获得dom 不能发送ajax请求 ...
同源跨域的知识点
北寻北爱
03-01 829
同源 1.同源的概念 同源(也叫同源策略),是浏览器中的一种安全机制 2.同源的规则 同源指‘三个相同’,协议相同,域名相同,端口号相同(简单来说,就是同一个网站) 3.同源的目的 是为了保护用户信息的安全,防止恶意网站窃取信息 4.同源策略的限制范围(也就是不同源的情况) ( 1 ) cookie,localStorage,IndexDB无法读取 (2)DOM无法获取 (3) ajax请求不能发...
同源跨域问题
最新发布
m0_63144319的博客
04-19 62
同源相反,即协议,域名和端口号一项或多项不一致。浏览器的同源策略不允许非同源的URL之间进行资源的交互。注意:浏览器允许发起跨域请求,但是,跨域请求回来的数据,会被浏览器拦截,无法被页面获取到!由于浏览器同源策略的限制,网页中无法通过Ajax请求非同源的接口数据。但是标签不受浏览器同源策略的影响,可以通过srC属性,请求非洞源的js脚本。因此,JSONP的实现原理,就是通过标签的src属性,请求跨域的数据接口,并通过函数调用的形式,接收跨域接口响应回来的数据。
同源跨域问题解决
青涛依旧
07-19 2187
同源跨域问题解决 1.同源策略 什么叫同源? URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。相反,只要协议,域名,端口有任何一个的不同,就被当作是跨域。   同源策略  Same-Origin-Policy(SOP) 浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说浏览器禁止的是来自不同源的"document
同源策略、跨域以及跨域的三种解决方案详解
Harley567
08-25 1758
1.服务器代理; 2.cors跨域资源共享; 3.JSONP
必须搞懂的跨域解决方案
Always-Learning
08-13 618
跨域是什么? 关于跨域是什么,我们这里先不做介绍,我们先介绍下跨域的前置知识(同源策略)。同源策略是浏览器的重要安全策略。同源策略指的是浏览器只有在两个页面拥有相同源的时候,才允许第一个页面中的脚本访问第二个页面中的数据。这里的同源指的是协议、域名、端口号三者同源跨域请求有没有发送到服务器端? 跨域请求实际上已经发送到了服务器,并且客户端也接收到了返回的消息,然而浏览器在接收消息后发现这个信息违反了同源策略且没有被允许跨域,所以在解析该消息的时候会报错。 同源策略限制哪些,不限制哪些? 限制以下
通过后台跨域操作数据
qq_36970062的博客
03-23 354
今天在做日志存储时, 因为我们的系统与日志系统是两个不同的项目, 所以要进行跨域的数据操作.public class SendJson {    public void send(String urlPath,String param) throws IOException{        //建立连接      URL url=new URL(urlPath);// urlPath 为路径   ...
前端面试必备之同源跨域详解
09-22
跨域是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同域上(即域名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源跨域相关资料,文中通过示例代码...
[Ajax学习笔记-16] XMLHttpRequest 的基本用法 同源跨域 防抖和节流的使用
qq_64509600的博客
07-25 889
XMLHttpRequest的概念 XMLHttpRequest的使用 GET请求携带参数 POST请求携带参数 数据交换格式JSON 同源跨域的概念 跨域配置解决方案 防抖 节流
a标签在同源html中跳转,前端面试必备之同源跨域详解
weixin_30464195的博客
06-04 826
前言众所周知浏览器的同源策略及跨域的方法在前端面试中也是出场率极高的问题,本文主要跟大家分享了关于前端面试时会遇到的同源跨域问题,下面话不多说了,来一起看看详细的介绍吧。什么是同源策略同源策略是用来限制从一个源加载的文档或者脚本如何与来自另一个源的资源进行交互,是一种用于隔离潜在的恶意文件的关键的安全机制。何谓同源如果协议、域名和端口对于两个页面来说是相同的,则这两个页面就是同源的。比如:htt...
跨域同源详解
sky89299的博客
04-05 2423
跨域 同源策略 开发过程中主要遇到的同源问题,主要是比较两个url是否同源。 判断条件 协议是否相同(http、https、file) 主机地址是否相同(www.xxx.com 127.0.0.1) 端口(0~65535)http默认的电动车需按扣是80(可以不写),https默认端口是443 , MySQL默认的端口是3306 如果两个url协议、主机地址、端口都相同,那么这两个url是同源,否则就是非同源同源受到限制: Cookie无法操作 DOM无法操作 Ajax请求无效(请求
关于同源跨域问题,以及解决方法(八种)
MrLee的博客
06-26 7243
一,什么是跨域 就是跨域名,跨端口,跨协议 例如:如果有两个服务器,服务器A和服务器B,服务器A上存储了php数据,script,甚至是css这些文件,而你在服务器B上只写了html,然后你所在的服务器B上动态创建script,css,php数据(使用ajax请求),向服务器A上请求你想要的script,css,php数请求据(使用ajax)这些文件,请求这些文件后,你再在服务器B上运行你的ht...
解决同源限制问题跨域
子非鱼焉非我所愿的博客
05-02 436
一.同源 1.什么是同源:如果两个页面协议,域名,端口都相同,那么就属于同源,只要其中一个不相同,那就是非同源 2.同源政策的目的:保护用户信息安全 ,A网站在客户端的cookie,B网站时获取不到的 二.解决同源限制 1.JSONP:script标签没有同源问题,通过利用script标签里的src属性指定服务器端网站,服务器端返回一个函数的调用,把要传的数据放在函数的实参中,在客户端准备这个函数的定义 ①.客户端: <script src="要访问的地址"></script
跨域请求笔记
jin521436的专栏
05-15 488
最近学习心得,记录一下  说到跨域请求先要讲同源策略。 1.同源策略     浏览器都遵守同源策略,即动态脚本不能访问不同源的的资源。同源:相同端口,相同协议,相同域名。 由于同源策略的限制,浏览器对跨域网络访问进行了限制 2.跨域网络访问 同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest 或  标签时则会受到同源策略的约束。交互通常分为三类:
10 种跨域解决方案(附终极方案)
程序员秋风的博客
04-14 6036
写在前面 嗯。又来了,又说到跨域了,这是一个老生常谈的话题,以前我觉得这种基础文章没有什么好写的,会想着你去了解底层啊,不是很简单吗。但是最近在开发一个 vscode 插件 发现,当你刚入门一样东西的时候,你不会想这么多,因为你对他不熟悉,当你遇到不会的东西,你就是想先找到解决方案,然后通过这个解决方案再去深入理解。就比如跨域,新人或者刚接触的人对它并不是那么熟悉,所以说列出一些自己积累的方案,以...
九种跨域方式实现原理(完整版)
XZSJ_Front的博客
01-27 1251
目录前言一、什么是跨域?1.什么是同源策略及其限制内容?2.常见跨域场景二、跨域解决方案1.jsonp1) JSONP原理2) JSONP和AJAX对比3) JSONP优缺点4) JSONP的实现流程5) jQuery的jsonp形式2.cors1) 简单请求2) 复杂请求3.postMessage4.websocket5. Node中间件代理(两次跨域)6.nginx反向代理7.window.name + iframe8.location.hash + iframe9.document.domain +
不要再问我跨域问题
weixin_34306593的博客
07-11 1227
写下这篇文章后我想,要不以后就把这种基础的常见知识都归到这个“不要再问我XX的问题”,形成一系列内容,希望大家看完之后再有人问你这些问题,你心里会窃喜:“嘿嘿,是时候展现真正的技术了!”一、不要再问我this的指向问题跨域这两个字就像一块狗皮膏药一样黏在每一个前端开发者身上,无论你在工作上或者面试中无可避免会遇到这个问题。为了应付面...
深入理解前端跨域方法和原理
热门推荐
kongjiea笔记
03-11 4万+
前言 受浏览器同源策略的限制,本域的js不能操作其他域的页面对象(比如DOM)。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。所以我们要通过一些方法使本域的js能够操作其他域的页面对象或者使其他域的js能操作本域的页面对象(iframe之间)。 这里需要明确的一点是:所谓的域跟js的存放服务器没有关系,比如baidu.com的页面加载了
跨域同源策略问题,JSONP、CORS解决跨域问题
qq_45273552的博客
12-06 1801
问题案例 在服务器 manage.qiu.com (这里用到了反向代理为服务器设置了域名)的静态文件中加上一个test.html页面和test.json文件 test.html: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>测试JSON跨域问题</title> <script type="text/javascript" src="http://manag
浏览器跨域问题及其解决方案
跨域问题是前后端数据交互中经常遇到的问题,本文将探讨什么是跨域,以及有哪几种跨域方式。 一、什么是跨域跨域是指不同域之间相互请求资源的情况。所谓同源是指“协议+域名+端口”三者相同,即便两个不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值