跨域问题及解决方案

已于 2022-05-30 21:31:31 修改
阅读量1k 收藏
点赞数
分类专栏: 网络_HTTP 文章标签: 前端 javascript json
于 2022-05-23 21:05:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44685906/article/details/124916979
版权
本文介绍了跨域问题及其产生的安全背景,详细讲解了同源策略,并探讨了多种跨域解决方案,包括JSONP、CORS、window.postMessage、Nginx反向代理、webpack devServer.proxy、Websocket、node.js中间件代理、document.domain+iframe、location.hash+iframe以及window.name + iframe。通过这些技术,开发者可以有效地处理不同源之间的数据交互。
摘要由CSDN通过智能技术生成

跨域问题及解决方案

前言

跨域请求的响应一般会被浏览器所拦截,注意,是被浏览器拦截,响应其实是成功到达客户端了。

问题引入

你打开了一个银行站点,然后又一不小心打开了一个恶意站点,如果没有安全措施,恶意站点就可以做很多事情:

  • 修改银行站点的 DOM、CSSOM 等信息;
  • 在银行站点内部插入 JavaScript 脚本;
  • 劫持用户登录的用户名和密码;
  • 读取银行站点的 Cookie、IndexDB 等数据;
  • 甚至还可以将这些信息上传至自己的服务器,这样就可以在你不知情的情况下伪造一些转账请求等信息。

所以说,在没有安全保障的 Web 世界中,我们是没有隐私的,因此需要安全策略来保障我们的隐私和数据的安全。

同源策略

  1. 概念:如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。
  2. 同源策略主要表现在 DOM、Web 数据和网络这三个层面:
    • DOM 层面:同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作
    • 数据层面:同源策略限制了不同源的站点读取当前站点的 Cookie、IndexDB、LocalStorage 等数据
    • 网络层面:同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点

跨域解决方案

JSONP
  • 原理:利用script标签的src属性没有跨域限制的特性,网页可以得到从其他来源动态产生的JSON数据。JSONP请求一定需要对方的服务器支持才可以。
  • JSONP与AJAX对比:都是客户端向服务器端发送请求,从服务器获取数据的方式。但AJAX属于同源策略,而JSONP属于跨域请求
  • 优缺点:优点是简单兼容性好,可用于解决主流浏览器的跨域数据访问问题。缺点是仅支持get方法具有局限性,不安全可能遭到XXS攻击
  • 实现代码
const jsonp = ({
    
	url,
	params,
	callback
}) => {
   
	//得到完整的url
	const generate = () => {
   
		let str = ''
		for (let key in params) {
   
			str += `${
     key}=${
     params[key]}&`
		}
		str += `callback=${
     callback}`
		return `${
     url}?</
最低0.47元/天 解锁文章
Vue 项目中遇到的跨域问题及解决方法(后台php)
08-27
Vue 项目中遇到的跨域问题及解决方法 Vue 项目中遇到的跨域问题是一种常见的网络问题,当我们在 Vue 项目中使用 Ajax 或 XMLHttpRequest 时,可能会遇到跨域问题跨域问题是指浏览器的同源策略限制,禁止 Web 页面...
Vue开发中遇到的跨域问题及解决方法
10-15
CORS是一种官方推荐的跨域解决方案,它通过在HTTP响应头中添加特定的字段来告诉浏览器,服务器允许从哪些域进行访问。具体来说,在服务端响应头中需要添加`Access-Control-Allow-Origin`字段,可以是一个具体的域名...
二级域名的跨域应用
网站开发初中级代码参考-转载
10-27 261
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出版、作者信息和本声明。否则将追究法律责任。http://blog.csdn.net/mayongzhan - 马永占,myz,mayongzhan 最近在解决几个二级域名的跨域应用 简单总结如下: 1利用document.domain = "mayongzhan.com";a.mayongzhan.com和b.may...
二级域名跨域访问
jiangyouping250的博客
08-10 6419
后台api接口和web项目不在一起,解决跨域问题:在后台接口php文件里添加请求头。 php header("Access-Control-Allow-Origin:*"); header("Access-Control-Allow-Methods:GET, POST, OPTIONS, DELETE"); header("Access-Control-Allow-Headers:DNT,X
解决跨域问题的六种方式
qq_34185872的博客
02-11 398
origin: 协议+主机+端口号,也可以设置为"*“,表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为”/"。通常为了减轻 web 服务器的负载,我们把 js、css,img 等静态资源分离到另一台独立域名的服务器上,在 html 页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许,基于此原理,我们可以通过动态创建 script,再请求一个带参网址实现跨域通信。需注意的是:由于同源策略的限制,所读取的 cookie 为跨域请求接口所在域的 cookie,而非当前页。
二级域名在前端跨域
Ellan的博客
03-03 164
设置Cookie,二级域名在前端跨域
实现二级域名跨域操作
dianzongliao7933的博客
09-29 520
1. 实现原理 AJAX即“AsynchronousJavaScript and XML”(异步JavaScript和XML),AJAX并非缩写词,而是由Jesse James Gaiiett创造的名词,是指一种创建交互式网页应用的网页开发技术。(来源百度百科)。 其中核心是JavaScript脚本,然而JavaScript为了安全,所以在JavaScript中,有一个很重要的安...
Ajax跨域问题解决方案jsonp,cors)
10-16
在Web开发中,由于同源策略的限制,JavaScript通常只能访问和操作同源(协议、域名、端口相同)的资源。然而,随着Web应用的发展,这种限制...在实际应用中,开发者应根据项目需求和安全性考虑选择合适的跨域解决方案
说说JSONJSONP,也许你会豁然开朗
rznice的专栏
07-17 1937
前言   由于Sencha Touch 2这种开发模式的特性,基本决定了它原生的数据交互行为几乎只能通过AJAX来实现。   当然了,通过调用强大的PhoneGap插件然后打包,你可以实现100%的Socket通讯和本地数据库功能,又或者通过HTML5的WebSocket也可以实现与服务器的通讯和服务端推功能,但这两种方式都有其局限性,前者需要PhoneGap支持,后者要求用户设备必须支持We
跨域问题分析
qq_45087553的博客
11-04 499
问题分析:会导致跨域问题的情况: 域名不同 域名相同,端口不同 二级域名不同 http和https也属于跨域 解决方法: 第一种:在Controller上加上 @CrossOrigin注解 第二种:在网关服务添加配置类: @Configuration public class CorsConfig { @Bean public CorsWebFilter corsFilter() { CorsConfiguration config = new Cors
跨域解决方案
weixin_51670675的博客
10-18 3787
浏览器的同源策略和常见的跨域解决方案
DOM跨域的三种解决方案:document.domain、window.name、window.postMessage
最新发布
jiaoqi6132的博客
04-04 3428
在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值,那么消息就不会被发送;例如,当用postMessage传送密码时,这个参数就显得尤为重要,必须保证它的值与这条包含密码的信息的预期接受者的origin属性完全一致,来防止密码被恶意的第三方截获。通常,只有同源的页面才能相互通信,window.postMessage() 方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。的document.domain为"localhost",
js ajax跨域请求
weixin_30241919的博客
12-15 268
1 协议+域名+端口相同,就不算跨域,否则跨域 http://192.168.168.1:80/aaa http://192.168.168.1:80/bbb http://192.168.168.1/ccc //默认端口是80 以上都不是跨域 A网站AJAX请求B网站,算是跨域 跨域不可请求是浏览器的限制 2 解决方案: https://www....
2级域名实现iframe域名跨域自适应高度
xpwps21p
01-20 186
2级域名实现iframe域名跨域自适应高度 2010年12月22日   来源:http://www.code-design.cn/article/20101220/second- level-domain-cross-domain-iframe-auto-fit-height.as px   当有2级域名使用iframe对象加载其他的信息的时候,要想自动调节iframe的高度,如果不...
iframe跨域(二级域名)
weixin_30500663的博客
01-12 582
有a.ceshi.com通过iframe加载b.ceshi.com下的内容,通过对两个子域下的页面同时设置document.domian设置为相同的主域名可实现跨域读取数据: a.ceshi.com页面 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xht...
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
MicroAnswer的博客
11-05 9万+
解决跨域问题。详细介绍了跨域的相关内容。
HTML5中Access-Control-Allow-Origin解决跨域问题
weixin_34219944的博客
09-22 465
2019独角兽企业重金招聘Python工程师标准>>> ...
Java服务器端跨域问题解决方案详解
文件标题和描述指向的是一个关于解决Java服务器端跨域问题的6页PDF文件。跨域问题通常出现在Web开发中,尤其是当前端JavaScript试图访问另一个域下的服务器资源时。这在Web安全策略中被称为同源策略,意味着浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值