跨域与同源策略

最新推荐文章于 2024-07-17 01:19:13 发布
最新推荐文章于 2024-07-17 01:19:13 发布
阅读量312 收藏
点赞数
分类专栏: javascript 文章标签: 跨域 同源策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu_xiaozhou/article/details/52900548
版权

首先,我们要对网址有个了解。

一个网址的结构时这样的:

这里写图片描述

两个页面拥有相同的协议(protocol),主机(host),和端口(port),那么这两个页面就属于同一个源(origin)。

  • 常见的协议有:http、https、file、ftp、ssh等。
  • 主机:比如www.google.cn、www.csdn.net
  • 端口:可能平常在浏览器的地址栏中我们看不到端口号,那是因为网址使用的时默认的端口号,所以可以省略。

不满足同源策略的资源访问,叫跨域资源访问。

浏览器出于安全方面的考虑,只允许与本域下的接口交互。比如一个黑客,他利用iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名和密码登录时,如果没有同源限制,他的页面就可以通过 JavaScript读取到你的表单中输入的内容,这样用户名和密码就轻松到手了。又比如你登录了CSDN,同时浏览了恶意网站,如果没有同源策略限制,该恶意网站就可以构造AJAX请求频繁在CSDN发广告帖。

注意: 对于当前页面来说页面存放的 JS 文件的域不重要,重要的是加载该 JS 页面所在什么域。

虽然浏览器时处于安全性的考虑而使用了同源策略,但是也会给我们带来一些麻烦,最常见的就是ajax请求了。

吴小粥
关注
专栏目录
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8273
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
Axios、同源策略跨域、JSONP
不明真相的末影人
06-01 585
Axios基本概念 Axios 是专注于网络数据请求的库。 相比于原生的 XMLHttpRequest 对象,axios 简单易用。 相比于 jQuery,axios 更加轻量化,只专注于网络数据请求。 axios的基本使用方式 发起get请求: axios.get(请求地址,{params: 参数}).then(function (res) {}); 发起post请求: axios.post(请求地址,{data: 参数}).then(function (res) {}); axios.post(请求地
跨域-------------同源策略
江木
06-01 299
在前端开发中,经常遇到"跨域"的问题,以下的文章将探讨一下为什么会有"跨域"问题的出现,和所谓的"同源策略"同源策略1995 年由 Netscape 公司提出,之后被其他浏览器厂商采纳。同源策略只是一个规范,并没有指定其具体的使用范围和实现方式,各个浏览器厂商都针对同源策略做了自己的实现。一些 web 技术都默认采取了同源策略,这些技术范围包括但不限于Silverlight, Adobe Flas...
Web浏览器的同源策略:深入解析与实战技巧
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-17 987
同源策略(Same-Origin Policy,SOP)是Web安全的基础基石,旨在限制一个源上的文档或脚本如何与另一个源上的资源进行交互。这一策略有效地防止了恶意网站访问敏感数据,保障了Web应用的安全。本文将全面剖析同源策略的核心概念、其背后的实现机制,并通过一系列示例演示如何在实际开发中遵循这一策略,同时分享一些绕过限制的合法技术,如CORS(跨源资源共享)和POSTMessage。在开发环境中,可以使用代理服务器或开发服务器插件来绕过CORS限制,但在生产环境中,必须正确配置服务器的CORS策略。
同源策略跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源策略跨域
weixin_52065872的博客
07-16 1497
什么是同源策略、什么是跨域、如何实现跨域请求、JSONP的实现原理
跨域以及同源策略
Ethan024的博客
03-13 359
域名分析: http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议,主机(主域名,子域名),端口中的任意一个不相同时,成为不同域。这种不同域直接请求数据的操作,成为跨域操作。 如何看是否在同一个域: 主要看协议,域名(主域名和子域名),端口。 例: http:// www.xyz.com: 8080/ script/test.js http:// www.xyz.c
跨域】什么是跨域(同源策略)、JSONP、CORS
Milk~每天分享一点点,技术进步一点点
07-22 650
1. 什么是跨域(同源策略) 同源策略 ajax请求时,浏览器要求当前网页和server必须同源(安全) 同源:协议/域名/端口,三者必须一致 前端:http://a.com:8080/; server: https://b.com/api/xxx (默认端口80) 三者都不同源 跨域: 所有的跨域,都必须经过server端允许和配合 未经server端允许就实现跨域,说明浏览器有漏洞,危险信号 Jsonp JSONP 访问https://immoc.com/,服务端一定返回一个html文件吗
理解跨域同源策略
m0_45899013的博客
06-24 539
当浏览器报错 No ”Access-Control-Allow-Origin“时,就是碰到了跨域问题了! 一、跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域则指:协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) 二、同源的定义 如果两个 URL 的 protocol、port
同源策略
samueli的专栏
08-08 117
概念:       同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。       这里的同源指的是:同协议,同域名和同端口。 精髓:       它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的...
同源策略&跨域
m0_67841039的博客
04-21 2904
了解同源策略&跨域 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是跨域 同源指的是两个 URL 的协议
同源和跨域
Skyhaohao的博客
09-04 173
同源和跨域
跨域-同源策略
KaisonYi的博客
04-28 1124
跨域 同源策略(Same origin Policy) 浏览器出于安全考虑,只允许与本域下的接口交互。不同源的客户脚本在没有明确授权的情况下,不能读写对方的资源 发送的请求和当前所在的页面是同一个域下的话,是可以接受的域名,这是浏览器的安全策略 同源指的是什么 同协议: 如http/https 同域名: http://baidu.com 同端口:80端口 修改host的作用 127.0.0...
深入解析JavaScript同源策略跨域访问实例及安全策略
JavaScript同源策略跨域访问是Web开发中至关重要的安全概念,它们确保了浏览器在处理来自不同源的请求时保护用户的隐私和数据安全。同源策略是浏览器内置的一种防御机制,它根据URL的构成(协议、域名和端口)来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值