本文探讨了浏览器的同源策略以及其原因,强调了跨域问题带来的安全隐患,如cookie泄露导致的身份冒用和iframe中的DOM操控。介绍了同源策略的限制,包括对cookie、localStorage等的访问限制及AJAX请求的禁止。接着,文章提出了三种解决跨域问题的方法:CORS(跨域资源共享)、JSONP和Nginx反向代理。CORS涉及简单请求和非简单请求的概念,JSONP利用script标签的src属性规避同源策略,而Nginx则通过反向代理实现跨域请求。
跨域问题
- 为什么有跨域的问题-----因为浏览器的同源策略
- 为什么要有同源策源----如果没有会发生什么
-
cookie被其他人知道,导致登录身份被他人所用
比如:我登录了a网站,在a网站浏览页面;之后,我又打开b网站。由于登录a网站时,浏览器已经从服务器中获取cookie(在响应投的set-cookie字段里),之后每次向服务器发送请求,浏览器都会自动地将cookie放在请求头中(cookie字段)发送给服务器。当我打开b网站时,b网站可以向服务器发送请求。这个请求会携带有浏览器自动设置的cookie字段,将刚才登录a网页所得到的cookie发送给服务器,服务器会认为登录a网站和登录b网站的是同一个用户。这样b网站就可以用我的身份来进行操作,这样就很危险了。
-
不同域之间的iframe可以相互访问,dom容易被获取进行操作
比如:有一天我收到一条短信,这条短信说我的银行账户有异常,请马上登录银行的官网去处理,并给了银行官网的链接:aaaabbb.com。但其实你平时访问的是aaabbb.com,由于着急没有仔细看,你点进去了,并登录了,这样你的账号信息就被窃取了。来看一下是怎么一回事
//html <iframe name="pizi" src="aaabbb.com"></iframe> //js<
最低0.47元/天 解锁文章
330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
