关于同源政策

最新推荐文章于 2024-03-13 09:32:45 发布
最新推荐文章于 2024-03-13 09:32:45 发布
阅读量185 收藏
点赞数
分类专栏: Ajax 文章标签: ajax 服务器 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47505105/article/details/123436034
版权

什么是同源政策
同源政策的目的
使用 JSONP 解决同源限制问题
封装 jsonp 方法
第二种非同源请求限制的解决方案 ----CORS跨域资源共享

1. Ajax 请求限制

Ajax只能向自己的服务器端发送请求。

比如现在有一个A网站,有一个B网站,A网站中的HTML文件 只能向A网站服务器中发送Ajax请求,B网站中的HTML文件 只能向B网站服务器中发送Ajax请求,但是A网站是不能像B网站发送Ajax请求的,同理,B网站也不能向A网站发送 Ajax请求

2. 什么是同源政策

如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,只要其中有一个不相同,就是不同源。 如下:

在这里插入图片描述

3. 同源政策的目的

同源政策是为了保证用户信息的安全,防止恶意的网站窃取数据。

最初的同源政策是指A网站在客户端设置的Cookie,B网站是不能访问的。

随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是,无法向非同源地址发送Ajax请求,如果请求,浏览器就会报错

4. 使用 JSONP 解决同源限制问题

jsonp是json with padding 的缩写,它不属于ajax,但它可以模拟Ajax请求

1. 将不同源的服务器端请求地址写在script标签的src属性中

在这里插入图片描述

2. 服务器端响应数据必须是一个函数的调用,真正要发送给客户端的数据需要作为函数调用的参数

在这里插入图片描述

3. 在客户端全局作用域下定义函数fn

在这里插入图片描述

4. 在 fn 函数内部对服务器端返回的数据进行处理

在这里插入图片描述

具体代码示例如下:

在这里插入图片描述
在这里插入图片描述

JSONP 代码优化
  1. 客户端需要将函数名称传递到服务器端
  2. 将script请求的发送变成动态请求
  3. 封装jsonp函数,方便请求发送
  4. 服务器端代码优化之res.jsonp方法

5. 封装 jsonp 方法

在这里插入图片描述

在这里插入图片描述

上述封装方法的不足之处

在这里插入图片描述

改进一:将fn1和jsonp进行关联

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

改进二: 关于函数的名字

封装jsonp的函数内部,当前,无论我们发送多少次请求,函数的名字永远是fn1。

这样会存在一个潜在的问题,当我们连续发送请求时,即连续调用jsonp函数的时候。后发送的请求往window对象下面挂载fn1函数,会覆盖先发送的请求挂载到window对象下面的fn1函数。

所以,在封装jsonp函数内部,函数的名字不能是一个写死的名字

改进如下:

在这里插入图片描述
在这里插入图片描述

再一次优化:一个请求要传递多个参数

从之前优化的代码可以看出: 该请求只传递了一个参数callback参数

和ajax函数一样,我们要在调用的时候传递一个data属性,属性的值是一个对象,对象当中存储的就是我们想要向服务器端发送的请求参数。

jsonp解决方案当中的请求,属于get请求。因为它是通过script标签中的src属性发送的请求

在这里插入图片描述
在这里插入图片描述

又一轮优化:对服务器端代码进行优化

在这里插入图片描述对服务器端代码优化的结果:

在这里插入图片描述

6. 第二种非同源请求限制的解决方案 ----CORS跨域资源共享

CORS: 全称为 Cross-origin resource sharing,即跨域资源共享,它允许浏览器向跨域服务器发送ajax请求,克服了Ajax只能同源使用的限制。

  • 它与jsonp不同,jsonp是绕过了同源限制,发送的也不是ajax请求。
  • 这种解决方案是在服务器端进行一些配置,客户端保持原有代码即可
  • 服务器端允许你跨域访问(进行了配置),就可以访问,没有进行配置,就不允许

在这里插入图片描述
在这里插入图片描述
Node服务器端设置响应头代码示例:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

chnyi6_ya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jquery获得同源iframe内body下标签的值的方法
10-25
首先,关于同源iframe内body下标签的值,这里涉及到了多个知识点,包括同源政策(Same-origin Policy)、iframe元素以及jQuery的使用。 同源政策(Same-origin Policy)是浏览器的一种安全机制,它限制了来自不同源...
7.浏览器原理之浏览器同源策略
qq_42349528的博客
02-25 3655
目录1.什么是同源策略2.如何解决跨域问题3.正向代理和反向代理的区别4.NginX的概念及其工作原理 1.什么是同源策略 2.如何解决跨域问题 3.正向代理和反向代理的区别 4.NginX的概念及其工作原理 NginX是一款轻量级的Web服务器,也可以用于反向代理,负载均衡和HTTP缓存等。NginX使用异步事件驱动的方法来处理请求,是一款面向性能设计的HTTP服务器。 传统的Web服务器如Apache是process-based模型的,而Nginx是基于event-driven模型的。正是这个主要的区别
Ajax学习笔记(三)--- 同源政策和跨域解决方案
weixin_45092437的博客
10-07 465
一、同源政策 ​ 什么是同源?如果两个页面拥有相同的协议、域名和端口,那这两个页面就属于同源页面,如果有其中一项不同,就是不同源。 ​ 同源政策的目的是为了保证用户的信息安全,防止恶意网站窃取数据。最初的同源政策是指 A 网站在客户端设置的 Cookie,B网站是不能访问的。随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax 请求,如果请求,浏览器就会报错。 ​ 简单来说,就是Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站
同源政策(same-origin policy)
TKOP_的博客
04-20 1748
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
JavaScript 漫游】【035】同源限制
最新发布
CYW2019_HUST的博客
03-13 935
本篇文章为【JavaScript 漫游】专栏的第 035 篇文章,记录了浏览器模型同源限制相关的知识点。
同源跨域的概念与实现跨域的几种方案
好好睡觉
01-10 1185
同源政策同源策略、跨域方法、iframe跨域方法、postmessage跨域、window.name跨域、片段识别符跨域、JSONP跨域、
同源策略以及cookie安全策略
08-29
如果网站的隐私政策符合用户设置的标准,浏览器会自动接受Cookie。然而,这可能导致用户在不知情的情况下接受不安全的Cookie,增加了隐私泄露的风险。 综上所述,同源策略、Cookie安全策略、Flash安全策略以及Web...
2021-2022年收藏的精品资料租税同源互替.doc
09-18
【文章内容概述】 这篇文章主要探讨了租税同源、分离与互替的经济理论,源自于天则经济研究所的一次学术报告会。...这种理论对于理解政府与市场的关系,以及资源配置和公共政策的制定具有重要意义。
星震同源:2021年半年度报告.rar
09-29
8. **风险提示**:企业会列出可能面临的风险因素,如政策变化、经济波动、市场竞争加剧等,提醒投资者注意潜在风险。 9. **社会责任**:现代企业越来越注重社会责任的履行,报告中会提及公司在环保、员工福利、社区...
ST食同源:2021年半年度报告.rar
09-29
公司会就市场环境、政策法规、竞争格局等因素可能带来的风险进行预警,并提出应对策略。同时,会分享未来的业务计划和战略目标,帮助投资者预测公司未来的发展潜力。 8. **审计意见**: 如果报告经过了会计师事务...
同源策略是什么?跨域是什么?怎么解决跨域?
不知道并不可怕,可怕的是自己不知道 “自己不知道”。
03-04 544
跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。协议、域名、端口号都相同才是同一个域。只要有一个不同,就算跨域。需要注意的是:主域名相同,子域名不同也算跨域,例如:email.qq.com 和 zone.qq.com 就属于主域相同,子域不同,也算是跨域。
同源政策 (SOP)
allway2的博客
09-05 651
其目的是将浏览器窗口(和选项卡)相互隔离,例如,当您访问 example.com 时,该网站将无法读取您来自 gmail.com 的电子邮件,而您可能在另一个网站上打开了这些电子邮件标签。这意味着,如果您在网站的 iframe 中加载恶意网站,该框架可以将您网站的 URI 更改为例如网络钓鱼页面(克隆您的页面,例如窃取用户密码或让他们下载恶意的东西)。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。它谈论的是预检请求和请求模式。
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
什么是同源策略?解决跨域的三种方法?
qq_52409560的博客
12-18 1779
比如JSONP就是一种独立的跨域处理方式,不需要服务器端配置CORS来支持,当然在一个项目里面两者可以混合起来使用:获取数据就用JSONP,提交数据就用CORS;(1)img 的 src 属性;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果,其中一个条件没有满足,那么就是跨域了;(1)协议要相同:HTTP、HTTPS;(2)link 的 href 属性;(3)script 的 src 属性;三种处理跨域的方式,标签跨域特性进行数据跨域访问的,,要具体的域名,不要使用。
同源政策ajax
woai_mihoutao的博客
05-04 172
一、Ajax请求限制 ajax只能响应自己的服务器发送请求。比如现在有一个A网站,有一个B网站,A网站中的HTML文件只能向A网站服务器发送Ajax请求,B网站中的HTML文件只能向B网站中发送Ajax请求,但是A网站是不能向B网站发送Ajax请求的,同理,B网站也不能向A网站发送Ajax请求。 二、什么是同源 如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。 例如: 原网址:http://www.example.com/dir/page.h
同源政策
weixin_34221073的博客
12-06 63
2019独角兽企业重金招聘Python工程师标准>>> ...
同源策略
03-28 841
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。 但是有src属性的标签不受同源策略的影响。比如script、img、iframe、link。相当于浏览器发送get请求。 但是原页面的js不能访问通过src加载的资源。这也是和XMLHttpRequest的重大区别。 对于浏览器来说:除了DOM、Cookie、XMLHttprequest会受到同源策略的限制外,浏览器加载的第三方插件也有各自
【前端必备基础】同源政策
IU
06-28 376
同源政策 三大要素 协议 域名 端口号 例如:http://www.baidu.com/这个网址就是一个源 ,他的三要素 - 协议 http:// - 域名 www.baidu.com - 端口 80(端口为80可以省略) –【三要素只要有一个对不上,就是不同源】 http://www.baidu.com/dir2/other.html 同源 http://baidu.com/dir/o...
深入理解JavaScript同源政策及其规避方法
"同源政策-集控系统介绍_南瑞" 本文主要介绍了JavaScript中的核心概念——同源政策(Same-Origin Policy),该政策是浏览器安全的基础,用于限制不同源的网页之间交互,以保护用户隐私和数据安全。同源政策涵盖了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值