什么是浏览器同源策略
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
所谓同源是指:域名、协议、端口相同。
比如,服务器域名为:http://www.yanhongzhi.com/file/index.html
另外,同源策略又分为以下两种:
DOM 同源策略:禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况,不同域名的 iframe 是限制互相访问的。 XMLHttpRequest 同源策略:禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。
为什么要有跨域限制 因为存在浏览器同源策略,所以才会有跨域问题。那么浏览器是出于何种原因会有跨域的限制呢。其实不难想到,跨域限制主要的目的就是为了用户的上网安全。
如果浏览器没有同源策略,会存在什么样的安全问题呢。下面从 DOM 同源策略和 XMLHttpRequest 同源策略来举例说明:
如果没有 DOM 同源策略,也就是说不同域的 iframe 之间可以相互访问,那么黑客可以这样进行攻击:
做一个假网站,里面用 iframe 嵌套一个银行网站 http://mybank.com。 把 iframe 宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没有任何差别。 这时如果用户输入账号密码,我们的主网站可以跨域访问到 http://mybank.com 的 dom 节点,就可以拿到用户的账户密码了。
如果 XMLHttpRequest 同源策略,那么黑客可以进行 CSRF(跨站请求伪造) 攻击:
用户登录了自己的银行页面 http://mybank.com,http://mybank.com 向用户的 cookie 中添加用户标识。 用户浏览了恶意页面 http://evil.com,执行了页面中的恶意 AJAX 请求代码。 http://evil.com 向 http://mybank.com 发起 AJAX HTTP 请求,请求会默认把 http://mybank.com 对应 cookie 也同时发送过去。 银行页面从发送的 cookie 中提取用户标识,验证用户无误,response 中返回请求数据。此时数据就泄露了。 而且由于 Ajax 在后台执行,用户无法感知这一过程。 因此,有了浏览器同源策略,我们才能更安全的上网。
比如我们这里用ajax或者fetch API去远程访问后台用户数据
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script>
async function test(){
let resp = await fetch("http://127.0.0.1:8888/api/user");
let json = await resp.json();
console.log(json);
}
test();
</script>
</html>如果我们直接打开这个页面,浏览器就会报出如下错误:
跨域的解决方法
- JSONP
- CORS(跨域资源共享)
- 直接服务器后端连接(后续重点讲解)
JSONP
jsonp本身和ajax等等这些无关,仅仅就是针对跨域的一种页面解决方案而已。
由于 script 标签不受浏览器同源策略的影响,允许跨域引用资源。因此可以通过动态创建 script 标签,然后利用 src 属性进行跨域,这也就是 JSONP 跨域的基本原理。
JSONP需要前台和后台代码配合
直接通过下面的例子来说明 JSONP 实现跨域的流程:
<script>
function callback(data){
console.log(data);
}
</script>
<script src="http://127.0.0.1:8888/api/user"></script>
后端代码需要进行修改,需要往前端发送一个js字符串
router.get("/",async(req,res)=>{
let name = req.query.name;
let reg = new RegExp(name,"i")
let _filter = {"name":{$regex:reg}};
let result = await UserService.list(_filter,req.query.page,req.query.limit);
let jsonstr = JSON.stringify(result);
const script = `callback(${jsonstr})`;
res.header("content-type","application/javascript").send(script);
// res.send(result);
});
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题:
- 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式
- 只能完成GET请求:JSONP的原理会要求浏览器端生成一个
script元素,而script元素发出的请求只能是get请求
所以,CORS是一种更好的跨域解决方案。
CORS
CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。
它的总体思路是:如果浏览器要跨域访问服务器的资源,需要获得服务器的允许
而要知道,一个请求可以附带很多信息,从而会对服务器造成不同程度的影响
比如有的请求只是获取一些新闻,有的请求会改动服务器的数据
针对不同的请求,CORS规定了三种不同的交互模式,分别是:
- 简单请求
- 需要预检的请求
- 附带身份凭证的请求
这三种模式从上到下层层递进,请求可以做的事越来越多,要求也越来越严格。
下面分别说明三种请求模式的具体规范。
简单请求
当浏览器端运行了一段ajax代码(无论是使用XMLHttpRequest还是fetch api),浏览器会首先判断它属于哪一种请求模式
简单请求的判定
当请求同时满足以下条件时,浏览器会认为它是一个简单请求:
-
请求方法属于下面的一种:
- get
- post
- head
-
请求头仅包含安全的字段,常见的安全字段如下:
AcceptAccept-LanguageContent-LanguageContent-TypeDPRDownlinkSave-DataViewport-WidthWidth
-
请求头如果包含
Content-Type,仅限下面的值之一:text/plainmultipart/form-dataapplication/x-www-form-urlencoded
如果以上三个条件同时满足,浏览器判定为简单请求。
下面是一些例子:
// 简单请求
fetch("http://crossdomain.com/api/news");
// 请求方法不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
method:"PUT"
})
// 加入了额外的请求头,不是简单请求
fetch("http://crossdomain.com/api/news", {
headers:{
a: 1
}
})
// 简单请求
fetch("http://crossdomain.com/api/news", {
method: "post"
})
// content-type不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
method: "post",
headers: {
"content-type": "application/json"
}
})
简单请求的交互规范
当浏览器判定某个ajax跨域请求是简单请求时,会发生以下的事情
- 请求头中会自动添加
Origin字段
比如,在页面http://my.com/index.html中有以下代码造成了跨域
// 简单请求
fetch("http://crossdomain.com/api/news");
请求发出后,请求头会是下面的格式:
GET /api/news/ HTTP/1.1 Host: crossdomain.com Connection: keep-alive ... Referer: http://my.com/index.html Origin: http://my.com
- 看到最后一行没,
Origin字段会告诉服务器,是哪个源地址在跨域请求 服务器响应头中应包含Access-Control-Allow-Origin当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段
该字段的值可以是:
- *:表示我很开放,什么人我都允许访问
- 具体的源:比如
http://my.com,表示我就允许你访问
实际上,这两个值对于客户端
http://my.com而言,都一样,因为客户端才不会管其他源服务器允不允许,就关心自己是否被允许当然,服务器也可以维护一个可被允许的源列表,如果请求的
Origin命中该列表,才响应*或具体的源为了避免后续的麻烦,强烈推荐响应具体的源
假设服务器做出了以下的响应:
HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT ... Access-Control-Allow-Origin: http://my.com ... 消息体中的数据
当浏览器看到服务器允许自己访问后,高兴的像一个两百斤的孩子,于是,它就把响应顺利的交给js,以完成后续的操作
下图简述了整个交互过程
为了每一个路径都可以解决跨域问题,所以,可以单独写一个解决跨域的中间件 corsMiddleware.js
//设置同源白名单
//http://127.0.0.1:5500 live server的Origin路径
//null 本地页面的Origin
const allowOrigins = ["http://127.0.0.1:5500","null"]
module.exports = function(req,res,next){
if("origin" in req.headers && allowOrigins.includes(req.headers.origin)){
res.header("access-control-allow-origin",req.headers.origin);
}
next();
}
在init.js中引入中间件即可
......
//引入自定义cors中间件
const cors = require("./corsMiddleware");
app.use(cors);
......
需要预检的请求
简单的请求对服务器的威胁不大,所以允许使用上述的简单交互即可完成。
但是,如果浏览器不认为这是一种简单请求,就会按照下面的流程进行:
- 浏览器发送预检请求,询问服务器是否允许
- 服务器允许
- 浏览器发送真实请求
- 服务器完成真实的响应
比如,在页面http://my.com/index.html中有以下代码造成了跨域
// 需要预检的请求
fetch("http://127.0.0.1:8888/api/user", {
method:"POST", // post 请求
headers:{ // 设置请求头
a: 1,
b: 2,
"content-type": "application/json"
},
body: JSON.stringify({ name: "闫小志", age: 18 }) // 设置请求体
});
浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互
- 浏览器发送预检请求,询问服务器是否允许
OPTIONS /api/user HTTP/1.1 Host: 127.0.0.1 ... Origin: http://my.com Access-Control-Request-Method: POST Access-Control-Request-Headers: a, b, content-type
可以看出,这并非我们想要发出的真实请求,请求中不包含我们的响应头,也没有消息体。
这是一个预检请求,它的目的是询问服务器,是否允许后续的真实请求。
预检请求没有请求体,它包含了后续真实请求要做的事情
预检请求有以下特征:
- 请求方法为
OPTIONS - 没有请求体
- 请求头中包含
Origin:请求的源,和简单请求的含义一致Access-Control-Request-Method:后续的真实请求将使用的请求方法Access-Control-Request-Headers:后续的真实请求会改动的请求头
- 服务器允许
服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式
HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT ... Access-Control-Allow-Origin: http://my.com Access-Control-Allow-Methods: POST Access-Control-Allow-Headers: a, b, content-type Access-Control-Max-Age: 86400 ...
对于预检请求,不需要响应任何的消息体,只需要在响应头中添加:
Access-Control-Allow-Origin:和简单请求一样,表示允许的源Access-Control-Allow-Methods:表示允许的后续真实的请求方法Access-Control-Allow-Headers:表示允许改动的请求头Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了
- 浏览器发送真实请求
预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据
POST /api/user HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://127.0.0.1:5500/index.html
Origin: http://127.0.0.1:5500
{"name": "闫小志", "age": 18 }
- 服务器响应真实请求
HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT ... Access-Control-Allow-Origin: http://127.0.0.1 ... 添加用户成功
可以看出,当完成预检之后,后续的处理与简单请求相同
下图简述了整个交互过程
理论很复杂,实际很简单: 只要是预检请求,发送什么到服务器,服务器回馈回去同样的响应就行了
稍微修改一下,服务器中间件:
//设置同源白名单
//http://127.0.0.1:5500 live server的Origin路径
//null 本地页面的Origin
const allowOrigins = ["http://127.0.0.1:5500", "null"]
module.exports = function (req, res, next) {
//处理预检请求
if (req.method === "OPTIONS") {
res.header(
`Access-Control-Allow-Methods`,
req.headers["access-control-request-method"]
);
res.header(
`Access-Control-Allow-Headers`,
req.headers["access-control-request-headers"]
);
}
//处理简单请求
if ("origin" in req.headers && allowOrigins.includes(req.headers.origin)) {
res.header("access-control-allow-origin", req.headers.origin);
}
next();
}
附带身份凭证的请求
默认情况下,ajax的跨域请求并不会附带cookie,这样一来,某些需要权限的操作就无法进行
不过可以通过简单的配置就可以实现附带cookie
// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
// fetch api
fetch(url, {
credentials: "include"
})
这样一来,该跨域的ajax请求就是一个附带身份凭证的请求
当一个请求需要附带cookie时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段
而服务器响应时,需要明确告知客户端:服务器允许这样的凭据
告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可
对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。
另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为*。这就是为什么不推荐使用*的原因
cors中间件
安装
npm i cors
引入
const cors = require("cors");
app.use(cors());
如果没有特殊处理的话,我们自己不需要写任何多余的代码,所有的接口都能允许跨域了 当然也可以做一些特殊处理,比如单独设置接口跨域,设置白名单等等,这些就不再一一说明,可以自行到 https://www.npmjs.com/package/cors 学习
350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
