你真的了解什么是跨域吗?

于 2024-08-29 22:26:10 发布
阅读量465 收藏 12
点赞数 10
文章标签: vue.js javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45215308/article/details/126920367
版权

跨域是每个程序员都躲不过的一个问题,无论是面试还是现实中的开发。既然如此我们就来详细讲解一下什么是跨域,该怎么解决这个跨域问题。

老规矩,先上定义,先从定义下手。

什么是跨域

定义:跨域,就是指浏览器不能执行其他网站的脚本。

那为什么会产生跨域这个问题呢?为什么不能再浏览器上执行其他网站的脚本呢?

这里就涉及到我们的浏览器的同源策略了,

那你可能又要问什么是同源策略?浏览器为什么要使用这个同源策略。不使用这个同源策略不就不会产生跨域这个问题了吗?不就没有那么多事情了吗?我们接下来就老好好解开这个疑问?

什么是同源策略

定义:同源策略是一个重要的安全策略,它可以限制一个来源,或者它的脚本的另一个来源,可以与另一个资源进行有效的合作。可以帮助阻止间接文档,减少可能被攻击的文档。

怎么样的才是同源

定义:如果 URL 的协议端口(en-US)(如果有指定的话)和主机都一样的话,那么两个 URL 是同一个端口。方案也被称为“组协议/主机/元元”,或者直接是“元组”。

其中,源=协议+主机+端口,只有这三个要素相同,两个源才相同,称之为同源,如果两个源不同,则称之为跨源或跨域。

示例:

与 URLhttp://store.company.com/dir/page.html的源对比的示例:

网址结果原因
http://store.company.com/dir2/other.html同源只是路径不同
http://store.company.com/dir/inner/another.html同源只是路径不同
https://store.company.com/secure.html失败不同协议
http://store.company.com:81/dir/etc.html失败端口不同(http://默认端口为 80)
http://news.company.com/dir/other.html失败主机不同

那浏览器为什么要使用同源策略呢?

如果我们对浏览器为什么要使用同源策略有疑问,我们不妨反过来思考。如果没有同源策略会怎么样呢?

没有同源策略限制的两大危险场景

据我了解,浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。试想一下没有这样的限制上述两种动作有什么危险。

没有同源策略限制的接口请求

cookie大家应该知道,一般用来处理登录等场景,目的是让服务端知道谁发出的这次请求。如果你请求了接口进行登录,服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中,服务端就能知道这个用户已经登录过了。知道这个之后,我们来看场景: 1.你准备去清空你的购物车,于是打开了买买买网站www.maimaimai.com,登录成功, 2.你在看有什么东西买的过程中,你的好基友发给你一个链接www.nidongde.com,一脸yin笑地跟你说:“你懂的”,你毫不犹豫打开了。 3.你饶有兴致地浏览着www.nidongde.com,谁知这个网站暗地里利用浏览器的安全漏洞来进行黑客行为,盗取你的钱!由于没有同源策略的限制,它向www.maimaimai.com发起了请求!聪明的你一定想到上面的话“服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中”,这样一来,这个不法网站就相当于登录了你的账号,可以为所欲为了!如果这不是一个买买买账号,而是你的银行账号,那就更危险了…… 这就是传说中的CSRF攻击浅谈CSRF攻击方式。 看了这波CSRF攻击我在想,即使有了同源策略限制,但cookie是明文的,还不是一样能拿下来。于是我看了一些cookie相关的文章。知道了服务端可以设置httpOnly,使得前端无法操作cookie,如果没有这样的设置,像XSS攻击就可以去获取到cookieWeb安全测试之XSS;设置secure,则保证在https的加密通信中传输以防截获。

没有同源策略限制的Dom查询

我们来看场景:
1.有一天你刚睡醒,收到一封邮件,说是你的银行账号有风险,赶紧点进www.yinghang.com改密码。你吓尿了,赶紧点进去,还是熟悉的银行登录界面,你果断输入你的账号密码,登录进去看看钱有没有少了。 2.睡眼朦胧的你没看清楚,平时访问的银行网站是www.yinhang.com,而现在访问的是www.yinghang.com,这个钓鱼网站做了什么呢?

// HTML
<iframe name="yinhang" src="www.yinhang.com"></iframe>
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
const iframe = window.frames['yinhang']
const node = iframe.document.getElementById('你输入账号密码的Input')
console.log(`拿到了这个${node},我还拿不到你刚刚输入的账号密码吗`)

由此我们知道,同源策略确实能规避一些危险,不是说有了同源策略就安全,只是说同源策略是一种浏览器最基本的安全机制,毕竟能提高一点攻击的成本。其实没有刺不穿的盾,只是攻击的成本和攻击成功后获得的利益成不成正比!

那我们了解了那么多之后,我们应该要消除对浏览器的误解,同源策略是浏览器做的一件好事,是用来防御来自邪门歪道的攻击,但总不能为了不让坏人进门而把全部人都拒之门外吧。没错,我们这种正人君子只要打开方式正确,就应该可以跨域。那解决跨域也有哪几种方法呢?

解决跨域的办法

  1. JSONP
    在HTML标签里,一些标签比如script、img这样的获取资源的标签是没有跨域限制的,利用这一点,我们可以这样干:
zayyo
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
简单了解django处理跨域请求最佳解决方案
01-20
一、什么是跨域请求 跨域: 简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。这显然是不安全的。为此,浏览器的鼻祖:网景(Netscape)公司提出了优秀的解决方案:著名的浏览器同源...
你可能不知道的CORS跨域资源共享
12-09
什么是CORS? 默认情况下,为预防某些而已行为,浏览器的XHR对象只能访问来源于同一个域中的资源。但是我们在日常实际开发中,常常会遇到跨域请求的需求,因此就出现了一种跨域请求的方案:CORS(Cross-Origin ...
C#浏览器提示跨域问题解决方案
08-18
那么,为什么浏览器会提示跨域问题呢?这是因为浏览器在发送请求时,会检查服务器返回的头部信息,如果头部信息中没有“Access-Control-Allow-Origin”头部,浏览器就会提示跨域问题。 在解决跨域问题时,我们需要...
demo跨域ajax_DEMO_ajax跨域_
09-30
首先,我们需要了解什么是跨域。根据浏览器的同源策略(Same-origin Policy),JavaScript只能访问与当前页面同源(协议、域名和端口均相同)的资源。当尝试访问不同源的资源时,浏览器会阻止这种请求,这就是所谓的...
vue ref和reactive区别
灰海
08-25 1541
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
vue export的用法
weixin_41203765的博客
08-23 604
Vue.js中,export关键字主要用于模块化编程,它允许你将一个文件(模块)中的代码、组件、函数、变量等导出,以便在其他文件中通过import语句来使用。这在Vue项目中非常常见,特别是当你需要重用组件、工具函数或配置时。
vue3插件原理
m0_46281382的博客
08-26 764
简述vue3中use方法加载第三方插件原理
knowLedge-无关系组件间方法的调用(创建新的 Vue 实例来作为事件总线(Event Bus)方法实现)
2301_76671906的博客
08-23 588
无关系组件间方法的调用(创建新的 Vue 实例来作为事件总线(Event Bus)方法实现)
vue数据同步(sync修饰符)
weixin_62639453的博客
08-23 432
本文描述的数据同步,是基于父子组件进行传递的参数实现。实现的内容是:子组件里面选择框,选择的对象可以传递给父组件,但一般涉及到子传父,可能会考虑使用$emit然后通过在父组件身上绑定一个自定义方法,通过子组件去emit触发这个事件,传递参数,但是这里不使用这种,新学了一种,数据同步的方式,也就是在子组件选择的数据,可以同步在父组件中。随便在父组件其他地方绑定一个事件,看看有没有获取到从子组件里面获取到的值,因为要拿选择的值过来父组件这边使用。被执行时,父组件会自动接收到这个事件并更新。
vue.js学习步骤
m0_63178019的博客
08-23 1130
Vue.js 从一个简单的实验性项目成长为一个功能强大、社区活跃的前端框架,其发展历程展示了它对前端开发的持续创新和改进。通过引入先进的功能和不断扩展的生态系统,Vue.js 为开发者提供了一个高效、灵活的工具,满足了不同规模和复杂度应用的需求。
vue全局参数
qq_34631220的博客
08-24 535
其它页面如果想监听改变。
Vue3组件通讯六种方式
yang295242361的博客
08-27 426
Vue3 提供了多种组件通信方式,以满足不同场景下的需求。Props 和 Emits 是最基本的父子组件通信方式;Provide / Inject 适用于跨层级的组件通信;Pinia 是用于全局状态管理的强大工具;attrs和refs 则提供了更灵活的通信方式。开发者可以根据具体需求选择合适的通信方式来实现组件间的数据传递和交互。
Vue学习--- vue3 集成遇到的部分问题与解决
仗剑执天涯的专栏
08-25 1010
构建异常。
JS执行机制和nextTick
YUELEI118的博客
08-25 705
setTimeOut:设置的时间意思是在多久后将此宏任务放到队列中,而不是在队列中等待时间到了才执行await:微任务,在await之后执行的代码,必须等到await执行完毕后才可以执行,
不良信息公示
最新发布
weixin_44962939的博客
08-28 307
信息展示项目
vue.js的设计与实现(响应系统1)
tinglis的博客
08-23 821
当然,我们可能不仅仅只有一个effect这个副作用函数,可能会有多个,这个时候我们会有什么办法呢?不远远没有这么简单,我们可以随便测试一下,如果我们添加一个obj里面不存在的属性,也会执行这个副作用函数,因为我们的副作用函数没有和具体的key做绑定,只要有执行set方法,就会执行副作用函数,即使没有读取改变的属性。看以上代码,effect中设置body的文本内容是使用了obj中text的值,当我们去改变text值的时候,我们会希望副作用effect函数要重新执行,但是很明显,以上代码无法做到这点。
vue js 前端同时下载多个文件,前端多文件下载
weixin_41346436的博客
08-22 412
【代码】vue js 前端同时下载多个文件,前端多文件下载。
Vue中的this.$emit()方法详解【父子组件传值常用】
叶落无痕的博客
08-26 845
下面是一个简单的示例,展示了如何在Vue组件中使用this.$emit()方法:项目文件夹下该组件定义路径 E:\myproject\src\components\ChildComponent\index.vue。
vue mapActions的使用
weixin_41203765的博客
08-23 339
mapActions是Vuex提供的一个辅助函数,用于将store中的actions映射到组件的methods上,使得我们可以在组件中更简洁地调用这些actions。通过这种方式,我们提高了代码的可读性和可维护性,同时也使得组件与Vuex的状态管理逻辑之间的耦合更加清晰。
前端了解跨域吗?解决跨域的方法?
11-27
是的,前端开发人员需要了解跨域问题。跨域问题是由于浏览器的同源策略导致的,同源策略要求浏览器只能向同一域名下的服务器发起请求,而不能向其他域名下的服务器发起请求。解决跨域问题的方法有以下几种: 1.使用JSONP跨域:JSONP是一种跨域请求的方式,它利用了script标签不受同源策略限制的特性,通过动态创建script标签,向服务器请求数据,并在回调函数中处理返回的数据。 2.使用CORS跨域:CORS是一种跨域资源共享的机制,它通过在服务器端设置响应头,允许浏览器跨域访问资源。 3.使用代理跨域:代理跨域是指在同一域名下设置一个代理服务器,将浏览器的请求发送到代理服务器上,再由代理服务器向其他域名下的服务器发起请求,最后将响应结果返回给浏览器。 4.使用iframe跨域:通过在同一域名下创建一个隐藏的iframe,将需要跨域的内容放在iframe中,然后通过window.postMessage()方法实现跨域通信。 5.使用WebSocket跨域:WebSocket是一种基于TCP协议的全双工通信协议,它可以在浏览器和服务器之间建立持久性的连接,实现跨域通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zayyo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值