跨域问题浅析

VIP文章 于 2024-02-14 18:31:27 发布
阅读量954 收藏 8
点赞数 28
分类专栏: 杂记 文章标签: CORS 跨域 JSONP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44869002/article/details/136114869
版权

什么是源(域)

在W3C的定义中,源是由协议主机(IP 地址或者域名)端口三者确定。如果两个 URL 的协议主机(IP 地址或者域名)端口都一样的话,那么这两个 URL 就是同源的。

同源策略

由于源与源之间是未知且默认的,所以非本源中的资源(即URL对应的资源)是不可控的。在早期的互联网,不同源的内容可以随意访问。因此有人就借此来攻击网站。如,在JavaScript脚本中添加恶意代码,然后让目标网站访问加载,从而实现攻击目标网站(即,XSS攻击)。此外还有CSRF(Cross-Site Request Forgery,跨站请求伪造)网络攻击的方式。由此可见,限制不同源之间的资源访问非常重要。

因此,出于安全的考虑,最早由Netscape公司于1995年在自家浏览器中引入同源策略,对不同源之间的资源交互进行了限制。后续各家浏览器厂商跟进引入。目前,所有的浏览器都在实行这个政策。

需要注意的是,并不是所有的不同源的资源交互操作都是禁止的。诸如,script 标签、img 标签等是允许跨域访问。

不同源也称为跨域。一般情况下,两者是同一个意思。

如何实现跨域资源共享

虽然同源策略保证了网站的安全,但很多时候又不得不访问不同源的资源。其实,在早期的时候,人们巧妙的借助script 标签、img 标签可以加载不同域资源的特性来实现跨域资源访问。即,JSONP (2005年)和 图片Ping。但这两种技术都存在一定的限制以及安全隐患,现在不是很推荐使用。后来,W3C在2014年1月16日正式发布CORS(Cross-Origin Resource Sharing,跨域资源共享)标准方案,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。使得跨域资源共享成为了一项安全可控可靠的技术。目前主流的浏览器已全部支持。

现在,最常用的跨域资源共享的技术是 CORSJSONP 更多情况下是 CORS 的一种替代方案(例如,不支持 CORS 的老浏览器);而 图片 Ping 技术基本很少见了。

跨域资源共享(CORS)

CORS(Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的 HTTP header组成,这些 HTTP 标头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。借助 CORS,web 服务器可以选择哪些跨域请求允许访问到它们的资源

CORS 工作过程

CORS 很简单,浏览器将 CORS 需要的相关信息通过请求头发送给服务器,服务器根据请求过来的信息判断是否允许访问,并把结果回传给浏览器。浏览器对接收的到信息进一步做处理,对于被拒绝的请求给出 CORS 错误。

  1. 首先浏览器依照 CORS 的规定,根据请求接口的复杂度区分为简单请求复杂请求
    1. 简单请求:将在请求头中附带Origin发送给 web 服务器
    2. 复杂请求:将根据请求的基本信息(包括OriginAccess-Control-Request-Method等)生成一个预检请求(Preflight request),向 web 服务器询问是否支持 CORS 。
  2. 当 web 服务器接收到请求时, 针对不同请求有如下处理:
    1. 简单请求:根据请求头中的Origin来决定是否拒绝响应。
      • 如果Origin指定的源,不在许可范围内,服务器会返回一个正常的 HTTP 响应。浏览器发现,这个响应的头信息没有包含Access-Control-Allow-Origin字段就知道出错了,从而拦截响应数据并抛出 CORS 错误,被XMLHttpRequestonerror回调函数捕获;
      • 如果服务器认为这个请求可以接受,则在响应头中的Access-Control-Allow-Origin中会发接受的源信息。
    2. 预检请求:根据请求头中的OriginAccess-Control-Request-Method以及Access-Control-Request-Headers来判断是否允许这种类型的请求。
      • 如果服务器确认允许这一类的请求,则响应正常,并在响应头中携带Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers以及Access-Control-Max-Age等字段。然后,浏览器发送真实请求。这时发送的真实请求的处理逻辑和简单请求一致。
      • 如果服务器否认这一类的请求,同样会返回一个正常的 HTTP 响应。但是没有任何 CORS 相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此拦截响应数据触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。

关于浏览器拦截跨域请求的响应内容

当一个请求被浏览器识别为不允许的跨域请求时,浏览器会自动拦截请求的响应内容,阻止响应内容加载到渲染进程中。这也就是为什么在 Devtools 的 Network 中查看被阻止的跨域请求时,Response 是一片空白的原因。

其中,针对跨域标签(如:<script><img>)请求的响应内容,浏览器主要采用 CORB(Cross-Origin Read Blocking)技术来进行拦截。CORB 是一种判断是否要在跨站资源数据到达页面之前阻断其到达当前站点进程中的算法,降低了敏感数据暴露的风险。了解即可,详见:Cross-Origin Read Blocking (CORB) - 掘金 (juejin.cn)

借助CORS,Web 服务器就可以精确的控制跨域请求,只对可信的域的请求开放。

最低0.47元/天 解锁文章
杰~JIE
关注
  • 28
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js跨域问题浅析及解决方法优缺点对比
10-25
所谓js跨域问题,是指在一个域下的页面中通过js访问另一个不同域下 的数据对象,出于安全性考 虑,几乎所有浏览器都不允许这种跨域访问,这就导致在一些ajax应用中,使用跨域的web service会成为一个问题。...
深入浅析Jsonp解决ajax跨域问题
10-22
主要介绍了深入浅析Jsonp解决ajax跨域问题的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅析JSONP之解决ajax跨域问题
12-08
它是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。  JSONP就像是JSON+Padding一样(Padding这里我们理解为填充),...
关于域名、备案、SSL证书、HTTPS协议那些事
Jay的博客
08-19 5015
域名购买与备案;SSL 证书的购买与使用;Nginx 安装使用 HTTPS 协议的方法。Nginx 如何安装 http_ssl_module
项目版本号的命名规范
Jay的博客
04-17 3464
版本号的结构 主版本号.子版本号.修正版本号 命名原则 项目初版,版本号可命名为0.1.0 当项目有了重大的修改或者局部修改累计较多导致全局变化时,主版本号可以加1。一般的,当项目开发完成,测试通过,可以对外公布的时候,主版本号才从0变为1。这样看来,主版本为0,就代表着项目处于开发阶段。 当项目只是增加部分功能时,主版本号不变,子版本号加1,修正版本号重置为0; 当项目仅仅进行局部修改或者修复...
浅谈 API 回传数据格式
Jay的博客
03-24 2602
API 是前后端数据沟通的重要途径。API 回传数据的格式对前端来说,有着极其重要的作用。 在用户跟网站交互过程中,前端充当的是“翻译官”的重要角色。前端需要把后端告诉给用户的“信息”,准确的、浅显易懂的转述给用户。前端要想准确、浅显的向用户转述,首先要做的就是“听懂”后端说的“信息”。前端要想精准掌握这些“信息”,就必须和后端约定好一套 API 回传数据的格式。后端根据这套格式表诉他的“信息”,前端根据这套格式解读接收到的“信息”。 大家都根据这套“回传数据格式”来工作,是确保“前后端通讯”畅通的前提.
根据 Jupyter-lab 源码实现 notebook(.ipynb)在页面中的渲染
Jay的博客
02-13 1923
在页面中通过JavaScript实现notebook渲染,且基本保证与Japyterlab渲染效果一致
浅谈api回传信息数据格式
Jay的博客
02-16 630
API 是前后端数据沟通的重要途径。固定统一的API 回传数据的格式对开发人员甚至项目组都极其重要,可以有效的减少无意义的沟通和错误。
第一次架设服务器实记:献给初次接触项目部署、云服务器的朋友们
Jay的博客
08-14 593
项目如何生产环境?服务器怎么购买?服务器怎么配置?服务器的项目环境怎么搭建?什么是 Web 服务器?Web 服务器与应用服务器的区别。
node-v12.20.1-sunos-x64.tar.xz
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Springboot+Vue的乡政府管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
一名合格的程序猿修炼手册.md
04-27
一名合格的程序猿修炼手册.
5MHz 函数发生器使用说明书
04-27
5MHz 函数发生器使用说明书
99- 矿山工业互联网平台解决方案.pptx
04-27
99- 矿山工业互联网平台解决方案.pptx
基于Python大学生社会实践申报系统的设计与实现带vue前后端分离毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
工厂工资明细表Excel模版
04-27
基于提供的字段介绍,我们可以设计一个基础的工厂工资明细表Excel模板结构如下: | 序号 | 姓名 | 工种 | 工作天数 | 工时费/天 | 小计(正常工资) | 加班时间 | 加班费率/小时 | 小计(加班工资) | 预借 | 合计(实发工资) | 签字 | 备注 | | ---- | ---- | ---- | -------- | ---------- | -------------- | -------- | -------------- | --------------- | ---- | -------------- | ---- | ---- | | 1 | | | | | | | | | | | | | | 2 | | | | | =D2*C2
供应链管理 高成本、高库存、重资产的解决方案.rar
04-27
随着市场竞争的不断加剧和客户需求的多样化,传统的供应链管理模式面临着高成本、高库存和重资产等一系列挑战。为了有效应对这些挑战,企业亟需通过数字化转型来重塑供应链管理,实现效率提升和成本降低。本资料《供应链管理:高成本、高库存、重资产的解决方案》提供了针对这些问题的综合性数字化解决方案。在这份精品资料中,读者将了解到如何利用先进的信息技术手段,如大数据、云计算、物联网(IoT)和人工智能(AI),对供应链进行优化。通过实时数据分析,企业能够精准预测市场需求,从而减少过剩库存,降低仓储成本。同时,智能化的供应链协同平台可以加强供应商与制造商之间的合作,提高响应速度和灵活性,缩短产品交付周期。此外,资料还深入探讨了如何通过数字技术实现供应链的可视化管理,使企业能够全面掌握供应链的每一个环节,及时发现并解决问题,避免成本浪费。通过采用轻资产运营模式,企业能够减轻固定资产负担,提高资本使用效率。最终,这份资料不仅为企业提供了一套完整的供应链数字化转型路径,还结合具体案例分析,展示了数字化转型如何在实际操作中带来显著成效,帮助企业在激烈的市场竞争中保持领先地位。重新回答||
五相感应电机矢量控制模型MATLAB
最新发布
04-27
适合相关科研人员,新手借鉴啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊
axios 跨域问题
09-29
跨域问题是指当一个请求的协议、域名、端口与当前页面的URL不同,就会发生跨域。在Vue中使用Axios解决跨域问题可以通过设置代理来实现。在Nuxt中使用Axios解决跨域问题需要安装 @nuxtjs/axios 和 @nuxtjs/proxy 两个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值