跨域、同源策略、以及跨域处理方式

最新推荐文章于 2023-05-03 18:25:38 发布
最新推荐文章于 2023-05-03 18:25:38 发布
阅读量185 收藏
点赞数

目录

1、跨域的产生:

2、跨域产生的问题:

2.1简单请求与非简单请求的区别

3、为什么要对跨域进行特殊处理

3.1先来说说什么是源

3.2什么是同源策略?

3.3•不受同源策略限制的:

4如何解决跨域呢

4.1使用JSONP

4.2对请求头进行设置,通知浏览器可以请求

4.2.1设置CorsFilter

4.2.2当需要请求session数据的时候上面的设置会时session无效,也就是每次请求的sessionID不一致

withCredentials介绍:https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest/withCredentials

1、跨域的产生:

跨服务请求,及请求路径的协议、端口、域名任意一个不同就算跨域

2、跨域产生的问题:

如果不对跨域做处理,则通过AJAX请求不到目标服务的数据,或者请求到目标服务的数据,无法使用(请求到数据和请求不到数据的可参考简单请求和非简单请求https://www.cnblogs.com/renpingsheng/p/7688134.html

2.1简单请求与非简单请求的区别

* 请求方式:HEAD,GET,POST
* 请求头信息:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type 对应的值是以下三个中的任意一个
                        application/x-www-form-urlencoded
                        multipart/form-data
                        text/plain

只有同时满足以上两个条件时,才是简单请求,否则为非简单请求

控制台异常:

3、为什么要对跨域进行特殊处理

这是浏览器的同源策略所导致参考https://baike.baidu.com/item/%E5%90%8C%E6%BA%90%E7%AD%96%E7%95%A5/3927875?fr=aladdin

3.1先来说说什么是源


• 源(origin)就是协议、域名和端口号。
以上url中的源就是:http://www.company.com:80
若地址里面的协议、域名和端口号均相同则属于同源。
以下是相对于 http://www.a.com/test/index.html 的同源检测
• http://www.a.com/dir/page.html ----成功
• http://www.child.a.com/test/index.html ----失败,域名不同
• https://www.a.com/test/index.html ----失败,协议不同
• http://www.a.com:8080/test/index.html ----失败,端口号不同

3.2什么是同源策略?


同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。

3.3•不受同源策略限制的:


页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>等。

以上就是跨域的产生原因和过程

4如何解决跨域呢

4.1使用JSONP

仅限get请求(原因参考https://blog.csdn.net/shuidinaozhongyan/article/details/78155693

4.2对请求头进行设置,通知浏览器可以请求

4.2.1设置CorsFilter

如下(由于代码是在内部环境开发,代码无法直接考出,这部分代码当时的查找地址竟然找不到了,将就下哈)

注释部分和下面的时两种设置,都可以

4.2.2当需要请求session数据的时候上面的设置会时session无效,也就是每次请求的sessionID不一致

分两步:

后台的设置

如果要保证session一致,就不能将Origin设置为*号,必须设置成具体的请求地址,同时必须设置

Access-Control-Allow-Credentials为true

如何设置Origin呢,需要通过request获取,上面的代码显然不行,试过将request传递,但是报错了

所以可以通过自定义filter

代码如下(Springboot开发环境):

@Configuration
public class WebConfiguration {

    @Bean
    public RemoteIpFilter remoteIpFilter(){
        return new RemoteIpFilter();
    }

    @Bean
    public FilterRegistrationBean testFilterRegistration(){
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new MyFilter());
        registration.addUrlPatterns("/*");
        registration.addInitParameter("paramName","paramValue");
        registration.setName("MyFilter");
        registration.setOrder(1);
        return registration;
    }

    public class MyFilter implements Filter{
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {

        }

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

            HttpServletResponse res = (HttpServletResponse) servletResponse;
            HttpServletRequest req = (HttpServletRequest) servletRequest;
            String origin = req.getHeader("Origin");
            if (!org.springframework.util.StringUtils.isEmpty(origin)) {
                //带cookie的时候,origin必须是全匹配,不能使用*
                res.addHeader("Access-Control-Allow-Origin", origin);
            }
            res.addHeader("Access-Control-Allow-Methods", "*");
            String headers = req.getHeader("Access-Control-Request-Headers");
            // 支持所有自定义头
            if (!org.springframework.util.StringUtils.isEmpty(headers)) {
                res.addHeader("Access-Control-Allow-Headers", headers);
            }
            res.addHeader("Access-Control-Max-Age", "3600");
            // enable cookie
            res.addHeader("Access-Control-Allow-Credentials", "true");
            filterChain.doFilter(req, res);
        }

        @Override
        public void destroy() {

        }
    }

}

前台设置:在请求中添加

两种请求方式:

$.ajax({
url:url,
//加上这句话
xhrFields: {
   withCredentials: true
},
crossDomain: true,
success:function(result){
alert("test");
},
error:function(){
}

import axios from 'axios'
axios.defaults.withCredentials = true

withCredentials介绍:https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest/withCredentials

米斯特先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【域名】【同域】【跨域】【同源策略】【解决跨域问题】解读
ManuMAX的博客
12-08 1054
域名: + + 因为IP地址不方便记忆,所以通过固定的单一的单词组成一个域名,通过这个域名找到真是的IP,便于我们去访问!那么,域名是怎样和真实的IP进行对应的呢?答案当然是: 映射关系图如下: 1、浏览器上输入需要获取的网页的域名,如 2、这个会通过DNS域名解析器解析解析出真实的IP并返回给浏览器同域:协议、IP、端口都相同,就表示同域 跨域:协议、IP、端口只要有一个不同,就会产生不同的域,只要访问就是跨域1、跨域产生的原因: 是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源
跨域同源策略跨域解决
前端知识分享喵
12-17 570
同源策略跨域解决、Node中间件、Nginx反向代理
浏览器最新同源策略解析
m0_51433562的博客
05-03 307
帮大家搞清楚跨域到底是个什么东西
浅聊跨域,同源和同源政策三者的关系,以及如何解决跨域
A_Common_Man的博客
04-30 528
简单的聊一下跨域,同源和同源政策三者的关系,以及如何解决跨域造成的困扰
什么是同源策略解决跨域的三种方法
qq_52409560的博客
12-18 1764
比如JSONP就是一种独立的跨域处理方式,不需要服务器端配置CORS来支持,当然在一个项目里面两者可以混合起来使用:获取数据就用JSONP,提交数据就用CORS;(1)img 的 src 属性;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果,其中一个条件没有满足,那么就是跨域了;(1)协议要相同:HTTP、HTTPS;(2)link 的 href 属性;(3)script 的 src 属性;三种处理跨域的方式,标签跨域特性进行数据跨域访问的,,要具体的域名,不要使用。
什么是跨域?(包括同源策略以及解决跨域问题的方法
qq_59541478的博客
09-18 201
当一个资源去访问另一个不同域名或者同域名不同端口的资源时,发出跨域请求,如果另一个资源不允许访问就会出现跨域问题。跨域指的是浏览器不能执行其它网站的脚本。是由浏览器的同源策略造成的,是浏览器对JavaScript 施加的安全限制。
前端之同源策略跨域问题解决方法
Arui_0的博客
07-20 463
原文: https://juejin.im/post/5f1146a8e51d453dec11861f 跨域,指的是从一个域名去请求另外一个域名的资源。即跨域名请求!跨域时,浏览器不能执行其他域名网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。 跨域的严格一点来说就是只要协议,域名,端口有任何一个的不同,就被当作是跨域。 加载图片 CSS JS 可无视同源策略 <img src="跨域的图片地址" /> <link href="跨域的css地址" /> <scr
深入浅析同源策略跨域访问
11-22
这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。同源策略主要针对的是HTML文档,而非静态资源(如JavaScript、CSS、图片等),这些资源虽然可以...
JavaScript同源策略跨域访问实例详解
10-18
JavaScript同源策略跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
实现跨域的方式 什么是同源策略
01-09
实现跨域的方式 什么是同源策略
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
同源策略跨域:CORS--JSONP
小白小白从不日别的博客
05-18 543
主要介绍了两种常见的跨域解决方案
19、跨域同源策略跨域实现方式和原理
y_xiuzhu的博客
03-16 529
19.1 跨域 涉及面试题:什么是跨域?为什么浏览器要使用同源策略?你有几种方式可以解决跨域问题?了解预检请求嘛? 同源策略限制以下几种行为: 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 因为浏览器出于安全考虑,有同源策略/SOP(Same origin policy)。也就是说,如果协议、域名或者端口有一个不同就是跨域,Ajax 请求会失败。 那么是出于什么安全考虑才会引入这种机制呢? 其实主
同源策略&跨域
m0_67841039的博客
04-21 2878
了解同源策略&跨域 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是跨域 同源指的是两个 URL 的协议
同源策略跨域以及跨域的三种解决方案详解
Harley567
08-25 1661
1.服务器代理; 2.cors跨域资源共享; 3.JSONP
同源策略 && 跨域
yechongchong的博客
07-14 1098
在浏览器中,保证访问数据安全 的基础就是同源策略同源策略的三大要素:协议相同、域名相同、端口 相同。 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本 如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源的定义:如果两个URL的 protocol、port(en-US)(如果有指定的话)和host都相同的话,则这两个URL是同源。这个方案也被称为“协议/主机/端口元祖”,或者直接就是“元祖”。(“元祖”是指一组项目构成的整体,双重/三重/
什么是同源策略,什么是跨域,如何解决跨域
weixin_43996260的博客
04-01 5967
1.什么是同源策略同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。 源就是协议、域名和端口号。 协议:http,https 域名:区域的名字,每个域名都对应一个IP地址,
同源策略跨域解决方法
IT_10的博客
09-22 2060
定义 同源:两个站点同协议、同域名、同端口则认为是同源,只要有一项不同,就认为是非同源。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 同源策略是浏览器最核心、最基本的安全策略,现行的web安全策略很多以同源策略为基础。 为什么要有同源 主要是为了保护cookie,因为http协议无状态的特点,想要服务器端记住客户端,则可以通过cookie和session机制,这样,...
同源策略是什么,解决跨域的方式有哪些?(面试题)
weixin_59519449的博客
11-08 174
同协议,同 ip,同端口,保证网络的安全 Jsonp 动态创建 script 解决 Proxy 代理解决 nginx 反向代理解决 Cors 后端解决 Iframe 框架解决
跨域 同源策略是什么
最新发布
04-25
跨域同源策略是Web开发中的两个重要概念。 跨域(Cross-Origin)指的是在浏览器中,当一个网页的脚本试图访问不同源(域名、协议或端口)的资源时,就会发生跨域请求。同源策略(Same-Origin Policy)是浏览器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值