浏览器 随笔 跨域资源共享

已于 2022-05-05 23:25:25 修改
阅读量147 收藏
点赞数
分类专栏: 协议 文章标签: html
于 2021-10-26 22:37:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43638238/article/details/120982975
版权

0. 最近发现firefox在linux下有点迷人…

一篇非常完备的博客&demo
浏览器同源策略&资源跨域
js跨域&jsonp
跨域资源共享 CORS 详解 by 在别的博客中巧遇的阮总
Springboot&Nginx实现服务端跨域的Demo
Springboot 跨域解决方案
HttpOnly Cookie

CSRF(Cross-site request forgery)跨站请求伪造

XSS (Cross Site Scripting) 跨站脚本攻击

canvas跨域问题(超纲了…)

1. 何为浏览器的同源策略

同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

1. 为什么会出现跨域的问题(如果没有同源策略会出现哪些问题)

因为CSRF攻击,即使有了同源策略限制,但cookie是明文的。
CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!
攻击者盗用了你的身份,以你的名义发送恶意请求。

XSS 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。

2. 绕过同源限制请求接口

jsonp
	已知浏览器的跨域是对js的限制,html标签的src属性是没有限制的
	https://www.cnblogs.com/kongxianghai/p/5350079.html
	协议、域名、端口相同则视为同源
		IP与DNS解析后的域名也互为不同源
		这个也算跨域 主域名是http://crossdomain.com:9099,子域名是http://child.crossdomain.com:9099
	跨域脚本调用 传递数据 动态跨域回调函数
	JSONP只能发GET请求
iframe+form
	post
cors
	w3c提出的 跨域资源共享 Cross-origin resource sharing
	http://www.ruanyifeng.com/blog/2016/04/cors.html
	分为两类:
		简单请求
			head get post
		非简单请求
			head有...以外的字段
nignx
	代理转发一层,转换成后端的域名

3. 绕过同源限制访问Dom节点

window.postMessage() 
	HTML5的一个接口,专注实现不同窗口不同页面的跨域通讯。
document.domain
	子主域名的情况
canvas
	详见上面的链接

4. Http协议提供的一些cookie的安全选项

HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookie。

另外还有一个安全标识可以强制浏览器发送cookie的时候采用安全通道,比如HTTPS,可以防止被监听。尤其是在HTTPS连接被一些工具(比如SSLStrip等)降级到HTTP。

5. 解决方法

5.1 后端解决方案

5.1 springboot注解方式

@CrossOrigin
支持方法(某个请求)、控制器(一系列请求)粒度

5.2 从spring mvc的角度入手

支持全局粒度

注入自定义的java config类
,并extends WebMvcConfigureAdapter
,并重写addCorsMapping()

5.3 拦截响应内容

全局粒度的

对response对象加cors相关的header

肯尼思布赖恩埃德蒙
关注
专栏目录
html跨域访问
05-16
1、 请在服务器上部署附件war 2、 将【两个工程.zip】压缩包中的webChart.war和jdbc2json.war上传至apache-tomcat-8.0.33/webapps下 3、 启动tomcat,~/apache-tomcat-8.0.33/bin/start.sh
你可能不知道的CORS跨域资源共享
10-17
CORS(跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同之间的资访问。这种机制是为了解决现代Web应用中由于同策略...
浏览器 跨域传输数据、标签页传输数据
weixin_43294560的博客
06-23 1184
策略:当然同策略限制也不是绝对隔离不同的站点,比如link、img、script标签都没有跨域限制,这让我们开发更灵活了CORS跨域 简单请求:浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段 如果Origin指定的,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种
浏览器 跨域资源共享 解决方案
weixin_33744854的博客
02-24 168
前言   通过XHR实现ajax通信的一个主要限制是 跨域安全策略。XHR对象只能访问与包含他的页面位于同一个域的资。当发起一个资请求的时候,请求头会带有一个 Origin头部,响应头会带有一个Access-Origin-Allow-Origin,如下: Origin:http://www.test.com Access--Control-Allow-Origin: http...
浏览器共享数据_可以让跨域数据的模式:jsonp
weixin_39931146的博客
12-03 186
JSONP(JSON with Padding)是数据格式JSON的一种“使用模式”,可以让网页从别的网域要数据。另一个解决这个问题的新方法是跨来资源共享。由于同策略,一般来说位于server1.example.com的网页无法与 server2.example.com的服务器沟通,而HTML的...
浏览器共享数据_不懂浏览器安全,被老板邀请爬山?
weixin_39915820的博客
12-05 248
浏览器安全可以分为三大块——Web 页面安全、浏览器网络安全和浏览器系统安全在web页面中的安全策略中最基础、最核心的安全策略:同策略(Same-origin policy)。Web 页面安全同策略(Same-origin policy)如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同浏览器默认两个相同的之间是可以相互访问资和操作 DOM 的。两个不同之间若想...
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同的服务器请求数据,而不会受到浏览器的同策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
js跨域资源共享 基础篇
10-22
因此,为了实现跨域资源共享,W3C提出了CORS协议,用于定义浏览器和服务器如何进行跨通信。 #### 2. 为什么提出跨域资源共享(CORS) 在同策略(Same-origin policy)的限制下,浏览器出于安全考虑,不允许一...
Apache中配置支持CORS(跨域资源共享)实例
09-15
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同(比如不同的域名、协议或端口)获取资。在传统的同策略限制下,浏览器禁止了不同之间的AJAX请求,以保护用户数据的...
http 跨域资源共享详解
qq_42880714的博客
11-22 934
http 跨域资源共享详解
html静态页面,实现跨域访问
05-16
请用google浏览器打开,页面百分比缩小到百分之三十再访问。 1、 请在服务器上部署附件war 2、 将【两个工程.zip】压缩包中的webChart.war和jdbc2json.war上传至apache-tomcat-8.0.33/webapps下 3、 启动tomcat,~/apache-tomcat-8.0.33/bin/start.sh
跨来资源共享CORS
Delion
05-19 1121
跨来资源共享 跨来资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同策略[1],是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSO
解决不同域名下共享localStorage的几种方法
12-30 2万+
两个不同的域名的localStorage不能直接互相访问。那么如何在domain2.com中如何调用domain1.com的localStorage? 第一种 在domain2.com的页面中,嵌入一个src为domain1.com的iframe,此时这个iframe里可以调用domain1.com的localstorage。用postMessage方法实现页面与iframe之间的通信。 我们可以优化下iframe,我们可以在domain1.com中专门写一个负责共享localstorage的页面,这样可以
Nginx如何解决浏览器跨域问题、Cors跨域资源共享解决跨域问题、浏览器的同策略原理(Same-Origin Policy)站Origin
最新发布
Dontla的博客
07-21 2888
如果有了浏览器策略,浏览器就会判断,如果浏览器站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同策略通过限制跨域请求的访问权限,确保了网页只能访问与其来相同的资,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据
(第5讲)同一用户的不同页面共享数据的四种方法
weiyastory的博客
08-30 8843
1、cookie 2、sendRedirect 3、session 4、隐藏表单提交 2、HttpServletResponse类型对象的sendRedirect(String location)方法  只能传递字符串,不能传递对象,但是速度快; 用的时候需要注意:比如说 response.sendRedirect("welcome?uname=weiya"); (1)w
前端人员都懂的浏览器的同策略,以及如何进行不同间的相互访问
零一的博客
05-28 7660
策略引言正文一、同策略的定义 引言 作为前端开发人员,你要是连同策略都不知道是什么,那就太说不过去了。本篇文章将讲述同策略的定义, 以及当我们需要克服同策略,如何进行跨域访问数据的方法。 正文 一、同策略的定义 同策略: 浏览器自带的一种安全策略,他是指协议、域名、 端口 三个都相同的才能互相访问。 那既然有同的概念,那必定有不同的概念,接下来我们来看一个组例子, 理解一下什么是同,什么是不同。 项目 Value 电脑 $1600 手机 $12 导管 $1
浏览器跨域及解决方法
热门推荐
snowball的博客
05-03 2万+
出于浏览器的限制。同策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同策略,则浏览器的正常功能不能使用。可以说Web是构建在同策略基础之上的,。同策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同网页的 DOM。
浏览器跨域详解
GuoZebin的博客
11-04 1万+
一.什么是跨域 跨域问题来浏览器的同策略,浏览器为了提高网站的安全性,在发送ajax请求时,只有在当前页面地址与请求地址的协议+域名+端口号相同时才允许访问,否则会被拦截。 协议即通信协议,比如我们现在常见的http和https,如果当前页面地址使用http协议,请求的地址使用https协议,那么这个请求就存在跨域问题。 域名即网站网址,如baidu.com,360.com存在跨域。 ...
跨域资源共享技术与实现策略
"本文主要探讨了跨域引用资技术,包括同策略、典型的资源共享案例、Cross-Origin Resource Sharing (CORS) 标准以及几种跨域请求资的解决方案。" 在Web开发中,"跨域"是一个关键的概念,它涉及到浏览器的同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

肯尼思布赖恩埃德蒙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值