详解跨域问题

最新推荐文章于 2023-02-24 14:25:26 发布
最新推荐文章于 2023-02-24 14:25:26 发布
阅读量641 收藏 2
点赞数
分类专栏: 面试经典 浏览器 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43514149/article/details/107552497
版权

同源策略

在说跨域之前,先来了解一下“同源策略”

什么是源?

源=协议+域名+端口号。

如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。

我们可以通过window.origin或location.origin得到当前源。

什么是同源策略?

同源策略:不同源之间的页面不能互相访问数据。
浏览器规定:如果JS运行在源A里,那么就只能获取源A的数据,不能获取 源B的数据,即不允许跨域
假设 wang.com/index.html引用了ergou.com/1.js,那么就说1.js运行在源wang.com里
注意,这和ergou.com没有关系,虽然1.js是从它那里下载的.
所以1.js就只能获取wang.com的数据,这就是浏览器的功能,浏览器就是故意这样设计的。

为什么会有同源策略?

之所以需要使用同源策略就是为了保护用户的隐私。
以微信为例,源为 https://user.weixin.com,假设当前用户已经登录,并且AJAX请求 /friends.json 可以获取用户好友列表。

这个时候黑客来了,他把 https://user-winxin.com分享给你,实际上这是一个钓鱼网站,你点开这个网页,这个网页也请求你的好友列表 https://user.weixin.com/friends.json。

请问,这个时候你的好友列表是不是就被黑客给偷走了?

问题的根源?

最低0.47元/天 解锁文章
马小兜-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
理解HTTP Referer
曼木的博客
10-07 1339
是什么 HTTP 请求的头信息里面,Referer是一个常见字段,提供访问来源的信息。 Referer 的发生场景 浏览器向服务器请求资源的时候,Referer字段的逻辑是这样的,用户在地址栏输入网址,或者选中浏览器书签,就不发送Referer字段。 主要是以下三种场景,会发送Referer字段。 (1)用户点击网页上的链接。 (2)用户发送表单。 (3)网页加载静态资源,比如加载...
Nginx解决跨域Referer问题错误后台无法获取Token的问题
最新发布
sunqiuqin888888的博客
10-10 695
今天生产上发生一个奇怪的问题,即:同一个请求地址,不同页面发起的请求返回结果不一样:VUE首页进入的页面能返回完整报文,跳转到数据大屏则返回500异常。项目运行跨域访问。
html请求跨域referer
daoer_sofu的专栏
07-29 1599
后端请求 后端redirect重定向页面 使用form请求,ajax请求要单独设置跳转(ajax是页面局部刷新) 修改请求头部 w.Header().Set(“Access-Control-Allow-Origin”, “*”) w.Header().Set(“Access-Control-Allow-Headers”: “X-Requested-With,X_Requested_With,X-PINGOTHER,Content-Type”); w.Header().Set(“Access-C
浅析跨域
归小超博客
08-19 2513
1.跨域的原理是什么? 答:跨域主要是浏览器同源策略,有协议,域名,端口号三个原因,浏览器是根据请求中的origin头,如果origin是服务器认识的,那就正常返回,还会带上Access-control-Allow-Origin,如果没有这个,那么浏览器就会判定请求不合法。 2.不能跨域的原因是什么? 答:浏览器不能跨域是为了安全,严格上来说是为了防止CSRF。就是攻击者可以利用我们的身份和...
CORS 跨站访问 origin头 和 跨域 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4183
cors 全局配置文件中,加入域名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
跨域?如何解决?同源策略?
萌兔兔MMQ!!
05-10 439
跨域: 当前页面中的某个接口,请求的地址和当前页面的地址中,协议、域名、端口号有一项不同就是发生了跨域请求 原因: 游览器为了保护网页的安全,同源协议策略,如果缺少了同源策略,游览器很容易受到XSS、CSRF等攻击 跨域报错如下: 跨域解决方案: JSONP(a、img) 使用script标签,利用其可以跨域请求资源,将回调函数作为参数拼接到url上。 后端收到请求后,调用该回调函数,并将数据作为参数返回 响应头返回文档类型应设为javascript 缺点是只支持GET请求,安全性差可能会遭受XSS攻击
详解WebSocket跨域问题解决
01-19
项目中遇到javascript跨域问题,父页面和子页面要通信,并且父子页面跨域,怎么办? 项目中要保证父子页面通信是点对点,需要在服务端建立对父子页面WebSocket的对应关系,即父页面发的消息只被子页面收到,子页面的...
JS跨域问题详解
10-25
本文结合实际,分两种情况讨论跨域技术:首先讨论不同子域的跨域技术,然后讨论完全不同域的跨域技术。有需要的小伙伴可要看仔细了。
详解Vue 开发模式下跨域问题
08-30
标题:详解 Vue 开发模式下跨域问题 描述:本篇文章主要介绍了 Vue 开发模式下跨域问题,文章将为大家详细解释跨域问题的解决方法。 标签:vue 开发 跨域 Vue 跨域 部分内容: 在 Vue 开发模式下,我们可以使用...
PHP如何防止跨域调用接口
bite the dust
07-18 3376
第一种方法: $refer = $_SERVER['HTTP_REFERER'];   var_dump($refer);die; if($refer){       $url = parse_url($refer);       // var_dump($url);die;     if ($url['host'] != 'localhost') {            exit
前端跨域数据访问
清箫的专栏
04-26 5098
术语同源请求URL拥有相同protocol、host、port。参考Table 1 同源举例。用户认证(User Credential)在CORS中,用户认证指cookies, HTTP基本认证,客户端SSL认证。不指代理端的认证或Origin头。缺乏用户认证是指响应中不包含cookie,而且请求中不包含HTTP认证和SSL证书。简单方法(Simple method)指的是GET, HEAD, P
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5072
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
关于防盗链与跨域访问
LibX
12-30 1748
最近用阿里云的时候发现一些防盗链与跨域访问的一些坑,填完坑之后稍微整理一下。
Referrer和Referrer-Policy简介
zzhongcy的专栏
06-08 4463
Referrer和Referrer-Policy简介
解决跨域问题
AAA821的专栏
03-03 918
问题产生:前端页面地址跟接口地址域名不一样。 问题解决:前端页面请求的请口地址域名,保持跟页面地址的域名一致,然后在前端项目所在的nginx中进行请求的转发,将请求转发到接口地址对应的服务器中 location ~ ^/(h5)/ { proxy_redirect off; proxy_set_header Host $host; ...
【面试题】1342- 前端面试必会网络之跨域问题解决
pingan8787
06-05 712
什么是跨域浏览器有一个重要的安全策略,称之为「同源策略」其中,源=协议+主机+端口源=协议+主机+端口源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为跨源或跨域比如:源 1源 2是否同源www.baidu.com[1]www.baidu.com/news[2]✅www.baidu.com[3]www.baidu.com[4]❌http://localhos...
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1310
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
Cors跨域(一):深入理解跨域请求概念及其根因
架构师:通透,才能写出好代码!
06-15 3766
超详细一万多字,Cors跨域资源共享彻底扫盲
利用nginx反向代理解决iframe跨域问题详解
05-01
随着Web应用程序的不断发展,越来越多的Web开发者需要处理跨域访问的问题。尤其在网站开发中,标签<iframe>存在一些跨域问题,需要得到解决。 解决这些问题的一种方案是使用反向代理服务器。Nginx是一个功能强大的开源服务器软件,可以用来提供反向代理服务,也可以作为Web服务器、邮件服务器和负载均衡器。 在使用Nginx作为反向代理服务器时,可以按如下步骤解决iframe跨域问题: 1.安装和配置Nginx。首先,您需要在服务器上安装Nginx,并确保nginx.conf文件正确配置。配置反向代理服务器,将请求从原始服务器发送到新的服务器。 2.设置虚拟主机。为了使Nginx适用于您的网站,需要设置虚拟主机,配置主机的ip格式和端口号。通常情况下,虚拟主机可以支持多个域名和主机名,可以同时接收多个请求。 3.设置location指令。为了完成反向代理任务,可以使用location指令,将请求传递给正确的服务器,并且从指定的URL获取响应。具体而言,您需要在nginx.conf文件中指定location指令,并告诉Nginx需要向哪个服务器发送请求。 4.启用SSL。如果您的网站需要安全的传输,比如HTTPS,那么您可以使用SSL/TLS加密功能。在Nginx中配置SSL,需要使用SSL module或者OpenSSL来启用。 总之,Nginx是一个非常强大的反向代理服务器,可以很好地解决网站开发中的问题。利用其反向代理功能,您可以很容易地解决iframe跨域访问的问题,确保您的Web应用程序能够正常运行并保持安全性和高可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值