什么是跨域

已于 2024-09-05 10:42:02 修改
阅读量862 收藏 17
点赞数 12
分类专栏: 杂项 文章标签: 前端
于 2024-09-04 17:31:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43063398/article/details/141896732
版权

报错如下:

同源策略(Same-Origin Policy, SOP)

同源策略(Same-Origin Policy,SOP)是Web浏览器中的一种关键安全机制,旨在限制不同源之间的交互,以保护用户数据的安全和隐私。

域名、协议、端口有一个不同就不是同源,三者均相同,这两个网站就是同源。

比如说:你在浏览器访问hellocode.fun这个网站,这个网站需要去访问abc.com的资源,在资源被返回回来时,就会被浏览器阻止。

这么做有以下好处:

  1. 防止跨站脚本攻击(XSS):SOP限制了一个网页脚本访问其他源的资源,减少了恶意脚本注入并窃取用户信息的风险。
  2. 防止跨站请求伪造(CSRF):通过限制跨源请求,SOP防止恶意网站利用用户的身份在其他网站上执行未授权的操作。
  3. 保护用户数据:SOP确保cookies和本地存储数据只能被创建它们的源访问,防止未经授权的访问。

但也不是所有资源都是要遵守同源策略的, MDN描述如下所示:

跨域资源共享(CORS)

尽管SOP提供了强有力的安全保障,但它也限制了合法的跨域资源共享需求。为了解决这些问题,Web标准引入了跨域资源共享(CORS)等机制,允许在特定条件下进行跨域交互。CORS是一个W3C标准,允许服务器声明哪些源可以访问其资源,突破了AJAX只能同源使用的限制。

CORS的工作原理

  1. 浏览器检测:当浏览器检测到AJAX请求跨域时,它会自动添加CORS相关的HTTP头信息。这些头信息用于告知服务器请求的源以及请求的性质。(简单请求与非简单请求有不同的HTTP头信息, 详细可见阮一峰的文章)
  2. 服务器响应:服务器需要通过设置适当的CORS响应头来允许跨域请求。常见的CORS响应头包括:
    • Access-Control-Allow-Origin: 指定哪些源可以访问资源。
    • Access-Control-Allow-Methods: 指定允许的HTTP方法。
    • Access-Control-Allow-Headers: 指定允许的请求头。
    • Access-Control-Allow-Credentials: 指定是否允许发送凭据(如Cookies)。
  3. 浏览器处理:如果服务器响应中包含适当的CORS头信息,浏览器将允许跨域请求的响应被JavaScript访问,否则将被拦截。

不同服务器实现例子:

node.js直接配置

const http = require('http');

const port = process.env.PORT || 8000;

const server = http.createServer((request, response) => {
    console.log(`METHOD: ${request.method}; URL: ${request.url}`);

    // 设置CORS头信息
    response.setHeader('Access-Control-Allow-Origin', '*'); // 允许所有源
    response.setHeader('Access-Control-Allow-Methods', 'OPTIONS, GET, POST, PUT, DELETE'); // 允许的HTTP方法
    response.setHeader('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept'); // 允许的请求头

    if (request.method === 'OPTIONS') {
        // 对于预检请求,直接返回成功响应
        response.writeHead(204);
        response.end();
        return;
    }

    // 处理其他请求
    response.writeHead(200, { 'Content-Type': 'application/json' });
    response.end(JSON.stringify({ message: 'CORS is enabled for this server' }));
});

server.listen(port, () => {
    console.log(`Server is running on port ${port}`);
});

 Node.js(Express)

const express = require('express');
const cors = require('cors');
const app = express();

// 使用默认配置允许所有跨域请求
app.use(cors());

// 自定义配置
// app.use(cors({
//   origin: 'http://example.com',
//   methods: 'GET,POST',
//   allowedHeaders: ['Content-Type', 'Authorization']
// }));

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

Apache

httpd.conf.htaccess中添加:

<Directory "/var/www/html">
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "GET,POST,OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type"
</Directory>

Nginx

在Nginx配置文件中添加:

location / {
    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
    }

    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
}

zczlsy11
关注
专栏目录
什么是跨域跨域解决方法
越努力,越幸运!
12-14 43万+
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协...
什么是跨域?——详解跨域问题及其解决方案
fudaihb的博客
07-06 6054
跨域问题是Web开发中常见且令人困扰的问题之一。理解跨域的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍跨域的概念、产生原因、常见的跨域解决方案,并提供详细的代码示例,帮助读者深入理解跨域问题及其应对方法。
什么是跨域?一文弄懂跨域的全部解决方法
06-05 2万+
什么是跨域?一文弄懂跨域的全部解决方法
什么是跨域?怎么解决跨域问题
lymt95的博客
11-27 2万+
同源策略 同源策略案例 什么是跨域 跨域解决方法 1.ajax的jsonp 2.CORS方式 3.nginx 转发
什么是跨域
qq_60919669的博客
12-20 1816
在面试时问到什么是跨域,你要怎么回答呢? 跨域,指的是浏览器不能执行其他网站的脚本,由于同源策略的影响,即浏览器对javascript施加的安全限制,当从一个域名的网页去请求另一个域名的资源时,就无法成功获取资源,这时候需要有跨域才能成功获取资源。(这些理解就可以) 简而言之,跨域就是浏览器不允许当前的源请求到另外一个源的数据,源指协议、域名和端口,三者中有一个不同就是跨域。 那要怎么解决跨域问题呢? 面试官问你这个问题的时候,你不需要真的每一种方式都罗列出来,但是你要把几种最常用且最好的方法解释清
什么是跨域,怎么解决跨域
似水流年QC的博客
05-13 1万+
同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。JSON是一种数据交换格式(采用键值对的方式,无序组合,数组是有序组合),而JSONP是一种非官方跨域数据交互协议。跨域是指浏览器不能执行其他网站的脚本。它是浏览器同源策略造成的,是浏览器对JS实施的安全限制。注意:跨域限制是浏览器的机制,如果直接在服务端请求,是不会触发跨域限制的。
什么是跨域访问
Wen__Fei的博客
09-26 2万+
1.什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www....
什么是跨域?如何解决跨域问题?
热门推荐
飞扬_柳絮的专栏
07-31 12万+
什么是跨域? 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 域名: 主域名不同 http://www.baidu.com/index.html –&amp;gt;http://www.sina.com/test.js 子域名不同 http://www.666.baidu.com/index.html –&amp;gt;http://www.555.baidu.co...
什么是跨域以及为什么会出现跨域以及跨域的解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
什么是跨域跨域解决方法.docx
11-23
一、什么是跨域跨域是指一个域的 JavaScript 脚本和另外一个域的内容无法进行交互的现象。这是由于浏览器的同源策略限制所致。同源策略是一种约定,它是浏览器最核心也最基本的安全功能。如果缺少了同源策略,则...
什么是跨域,后端工程师如何处理跨域
m0_73533108的博客
09-05 185
作为一名后端开发工程师,在给前端同事写接口的时候,经常碰到他们讲,你的接口跨域了,那么什么是跨域,这里来研究下。
什么是跨域跨域请求资源的方法有哪些?
Tone的博客
12-27 926
一、什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域。 存在跨域的情况: 网络协议不同,如http协议访问https协议。 端口不同,如80端口访问8080端口。 域名不同,如qianduanblog.com访问baidu.com。 子域名不同,如abc.qianduanblog.com访问def.qianduanblog.com。 域名和域名对应ip,如w
-webkit-box-reflect属性与倒影效果的实现
读心悦
09-13 455
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
前端用html写excel文件直接打开
全易
09-10 792
html文件直接用excel打开
Vue使用query传参Boolean类型,刷新之后转换为String问题
q879936814的博客
09-12 452
要解决这个问题,不能直接Boolean处理,因为如果传入false,那么转换成字符串,Boolean(‘false’)会变成true;做项目时发现第一次进入页面时传参是正常的Boolean类型,刷新之后变成了String,这是浏览器进行的一次强制转换;解决方法:使用JSON.parse处理参数。
前端项目node版本问题导致依赖安装异常的处理办法
weixin_44703272的博客
09-14 305
解决前端项目中的Node版本问题通常涉及以下步骤:检查项目文档:查看项目是否有特定的Node版本要求,如果有,确保你的Node版本与之兼容。使用Node版本管理器:如nvm(Node Version Manager)或n。它们可以让你在同一台机器上安装和切换不同版本的Node。
前端vue3打印,多页打印,不使用插件(工作中让我写一个打印功能)
最新发布
m0_51798113的博客
09-17 335
getTableData().tableData,其实就是去后端获取参数去了,因为这是公司的前端框架,基于vxe的,包装的方法,获取了一个表格信息,相当于获取参数。说下总体思路,创建一个组件,里面放多个span字段,然后根据父组件传入的参数,生成子组件,最好我们打印子组件的信息即可。这里也很关键,中间我遇到一个问题,那就是经常第一次点击按钮,dom元素没有加载完,就弹出打印框了,所以我加了一个异步事件,还有记得把抽屉关了。
什么是跨域详细解说一下
05-13
跨域是指在浏览器中,一个网页的脚本试图去访问另一个网页的内容时,由于安全策略的限制而出现的问题。当脚本试图访问同一域名下的资源时,这是被允许的,但是当脚本试图访问不同域名下的资源时,就会触发跨域问题。 跨域问题是由于浏览器的同源策略导致的。同源策略是一种安全策略,它规定了浏览器只允许在同一域名下的网页之间进行相互通信,而不允许在不同域名下的网页之间进行相互通信。 跨域问题可以通过使用以下方法来解决: 1. JSONP(JSON with Padding):JSONP是一种利用script标签进行跨域请求的方法。利用这种方法,我们可以在页面中插入一个script标签,该标签的src属性指向一个API接口,API接口返回的数据会被包裹在一个函数调用中,并作为参数传递给该函数。 2. CORS(Cross-Origin Resource Sharing):CORS是一种跨域资源共享的机制。它允许浏览器向跨域的服务器发出XMLHttpRequest请求,从而实现跨域通信。 3. 代理服务器:代理服务器是一种位于客户端和目标服务器之间的中间服务器。当客户端需要访问跨域的资源时,它可以向代理服务器发出请求,代理服务器再将请求转发给目标服务器。由于代理服务器和目标服务器在同一域名下,因此不存在跨域问题。 以上三种方法各有优缺点,开发者可以根据具体需求选择合适的方法来解决跨域问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值