跨域(Cross-Origin)- Web开发

最新推荐文章于 2024-07-30 14:28:28 发布
最新推荐文章于 2024-07-30 14:28:28 发布
阅读量787 收藏 5
点赞数 10
分类专栏: web 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xycxycooo/article/details/140665551
版权

跨域(Cross-Origin)是指在Web开发中,一个网页的脚本(如JavaScript)试图从一个源(Origin)请求另一个源的资源时所发生的情况。这里的“源”是由协议(Protocol)、域名(Domain)或IP地址(IP Address)以及端口号(Port)三个部分组成的。只要这三个部分中有任何一个不同,就构成了跨域。

跨域的定义

跨域是浏览器的一种安全机制,称为同源策略(Same-Origin Policy)。同源策略限制了一个源的文档或脚本如何与另一个源的资源进行交互。这种限制可以防止恶意网站通过脚本读取或篡改另一个网站的数据,从而保护用户的安全和隐私。

跨域的维度

跨域的判断基于以下三个维度:

  1. 协议(Protocol):例如HTTP和HTTPS。
  2. 域名或IP地址(Domain or IP Address):例如192.168.150.200192.168.150.100
  3. 端口号(Port):例如80和8080。

只要上述三个维度中有任何一个不同,就构成了跨域。

跨域的例子

  1. 协议不同

    • 源1: http://192.168.150.200/login.html
    • 源2: https://192.168.150.200/login
    • 解释:协议不同(HTTP和HTTPS),构成跨域。

  2. 域名或IP地址不同

    • 源1: http://192.168.150.200/login.html
    • 源2: http://192.168.150.100/login
    • 解释:IP地址不同(192.168.150.200192.168.150.100),构成跨域。

  3. 端口号不同

    • 源1: http://192.168.150.200/login.html
    • 源2: http://192.168.150.200:8080/login
    • 解释:端口号不同(80和8080),构成跨域。

  4. 不跨域

    • 源1: http://192.168.150.200/login.html
    • 源2: http://192.168.150.200/login
    • 解释:协议、域名和端口号都相同,不构成跨域。

跨域的影响

跨域会导致以下问题:

  1. Cookie无法共享:浏览器不允许跨域共享Cookie,这会影响到需要依赖Cookie进行身份验证的应用。
  2. 资源请求受限:浏览器会阻止跨域的资源请求,除非服务器明确允许(通过CORS等机制)。

解决跨域问题

解决跨域问题的方法有很多,常见的有:

  1. CORS(Cross-Origin Resource Sharing):服务器在响应头中添加Access-Control-Allow-Origin字段,允许特定的源进行跨域请求。
  2. JSONP(JSON with Padding):利用<script>标签没有跨域限制的特性,通过回调函数获取数据。
  3. 代理服务器:前端通过同源的代理服务器转发请求,代理服务器再与目标服务器通信,从而绕过跨域限制。

示例:使用CORS解决跨域问题

在Spring Boot中,可以通过配置Spring Security来支持CORS:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://192.168.150.200")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true);
    }
}

通过上述配置,服务器允许来自http://192.168.150.200的跨域请求,并支持GET、POST、PUT和DELETE方法,允许所有请求头,并允许发送Cookie。

总结

跨域是Web开发中常见的问题,理解跨域的定义、维度和影响,以及掌握解决跨域问题的方法,对于开发安全的、高效的前后端分离应用至关重要。通过合理配置服务器和使用跨域解决方案,可以有效解决跨域问题,提升应用的可用性和安全性。

需要重新演唱
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Cross-Origin Resource Sharing in ASP.NET WebForms
01-27
`Cross-Origin Resource Sharing Example.sln`可能是包含示例项目的解决方案文件,`Cors.Target`和`Cors.Origin`可能代表测试的源和目标项目,通过这两个项目,你可以实践并理解CORS在ASP.NET WebForms中的实现。...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
Web开发中,由于浏览器的同源策略限制,不同源的资源之间无法直接进行交互,这就是所谓的跨域问题。为了克服这一限制,开发者通常会利用HTTP头部的`Access-Control-Allow-Origin`字段来允许特定或所有来源的请求。...
Access-Control-Allow-Origin跨域
04-22 346
1、浏览器的同源安全策略 浏览器只允许请求当前域的资源,而对其他域的资源表示不信任。那怎么才算跨域呢? 请求协议http,https的不同 域domain的不同 端口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORS,JSONPdocument.domain,window.name,web sockets就先别闹了,腰不好 : )...
跨域问题--@CrossOrigin
weixin_44561456的博客
08-05 204
@[跨域问题–@CrossOrigin) #注解@CrossOrigin 一、跨域(CORS)支持: 二、使用方法: 1、controller配置CORS 1.1、controller方法的CORS配置 1.2、为整个controller启用@CrossOrigin 1.3、同时使用controller和方法级别的CORS配置 1.4、如果正在使用Spring Security 2、全局CORS配置 3、XML命名空间 a、如果整个项目所有方法都可以访问,则可以这样配置 b、也可以用定制属性声明几个CORS
动态设置跨域origin
代码小白的博客
06-22 522
在中间件处理 public function handle($request, Closure $next) { $response = $next($request); $allowOrigin = [ 'http://aaa.com', 'http://bbb.com', ]; if (in_array($request->header('origin'), $allowOri
Nginx使用“逻辑与”配置origin限制,修复CORS跨域漏洞
qq_53058639的博客
03-02 3688
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_64051447的博客
06-30 1万+
解决方式还有更多各种各样的,但我认为最优雅的莫过于这两种,因此其他的解决方式可以暂时不提及,那些方法不仅增加了阅读复杂度还增加了维护成本不建议使用。无论是采用何种方式,我们都是要让后端修改代码,修改header或修改返回数据格式,都离不开后端的参与,所以遇到跨域问题,赶快找后端,一起解决这个问题。
Allow-Control-Allow-Origin谷歌跨域插件
01-14
标题中的"Allow-Control-Allow-Origin"是HTTP响应头的一部分,用于定义Web服务器允许哪些源(Origin)访问其资源,这是处理跨域资源共享(CORS - Cross-Origin Resource Sharing)的关键机制。跨域请求通常在浏览器...
express-cross-origin:用于启用跨域调用的 Express 中间件
07-09
在实际开发中,了解和使用 `express-cross-origin` 这样的中间件对于创建可访问性强的 API 和 Web 服务至关重要。它能帮助开发者克服由于浏览器同源策略带来的限制,使得不同源的应用之间能够安全地共享数据。同时,...
跨域问题的原理分析
我是小曾,欢迎来到我的博客
08-18 1184
跨域问题本质剖析,让你彻底搞懂跨域问题产生的原因
什么是跨域(cross-origin)请求,如何解决跨域问题?
官方推荐
08-31 9133
什么是跨域(cross-origin)请求,如何解决跨域问题?
什么是跨域(Cross-Origin)请求,如何解决跨域问题?
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-30 700
引言跨域请求基本概念同源策略概述跨域请求的作用解决跨域问题的方法示例一:使用JSONP发起跨域请求示例二:设置CORS响应头示例三:使用Fetch API发起带有CORS的请求设置CORS预检请求示例四:CORS预检请求使用代理服务器示例五:配置Webpack Dev Server代理实际工作中的使用技巧技巧一:正确设置Access-Control-Allow-Origin技巧二:处理预检请求技巧三:使用代理服务器技巧四:避免使用Credentials技巧五:利用第三方库拓展内容结语。
解决Origin请求头导致的Nginx反向代理403跨域问题
Howinfun的博客
02-09 8841
Nginx反向代理跨域问题
HTTP Headers 之 Origin跨域访问一定要加上这个header
热门推荐
前路无畏的博客
03-06 1万+
1.跨域访问 概念 HTTP 协议中的 Origin Header 存在于请求中,用于指明当前请求来自于哪个站点。 字段内容 Origin 仅仅包含站点信息,不包含任何路径信息。 语法 Origin: "" Origin: "<schema>://<host>[:port]" // 例如 Origin: "https://baidu.com" // 错误示范,包含了路径信息 Origin: "https://baidu.com/" 应用 CORS 当我们的浏览器发出跨站请求时,行为
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
ACGkaka的博客
02-26 1万+
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
通过实例理解Web应用跨域问题
TonyBai
11-20 155
开发Web应用的过程中,我们经常会遇到所谓“跨域问题(Cross Origin Problem)”。跨域问题是由于浏览器的同源策略(Same-origin policy)[1]导致的,它限制了不同源(Origin:域名、协议或端口)之间的资源交互。在这篇文章中,我将通过一些具体的示例来把跨域问题以及主流解决方法说清楚,供大家参考。1. 什么是跨域问题跨域问题指的是当一个Web应用程序在访问另一个...
跨域问题解决方案
m0_69057918的博客
12-27 1137
跨域问题深度理解及解决方案
nginx strict-origin-when-cross-origin
04-30
Nginx是一个高性能的Web服务器和反向代理服务器,可以配置strict-origin-when-cross-origin策略,提供数据安全保障。这个策略可以使用nginx的add_header指令来实现,在nginx配置文件中使用以下语法: add_header ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

需要重新演唱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值