理解同源策略和解决跨域问题

已于 2022-04-21 16:52:34 修改
阅读量2.7k 收藏 3
点赞数 4
文章标签: 前端 web安全
于 2022-04-06 22:59:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang1234567898/article/details/123997652
版权

1、什么是同源策略

简单来说,就是域名、协议、端口相同,即为同源。同源策略是一种浏览器安全策略,规定JavaScript能读取哪些web网站的内容,从而保护网站的数据不被其他网站读取。保护用户在使用浏览器访问网站时,B网站不能读取用户存储在A网站的数据。

2、同源策略的目的

举个简单的例子:

当我们使用浏览器去访问A网站时,如果是第一次登录需要输入账号密码,为了方便下次访问,而不需要输入账号密码,服务端会给我们返回一个凭证——cookie,当前浏览器就会将这个凭证存起来,当我们下次再用这个浏览器去访问A网站时,A网站就会先向浏览器请求一下是否有这个凭证,如果存在则不需要再次登录。

注意:cookie只存储在当前浏览器,换了浏览器之后就需要重新输入账号密码

用户小黑第一次登录A网站:

用户小黑第二次登录A网站:(浏览器存在A网站的cookie)

同源策略是针对浏览器的,想象一下如果没有同源策略,当用户小黑登录了A网站,再去访问B网站,B网站就可以读取A网站的cookie,再利用这个cookie伪造用户去登录A网站。

如果B网站是一个坏人李明搭建的,那么李明就可以用B网站获取到的cookie伪造小黑的身份登录A网站,从而盗取小黑的存在A网站的信息数据,甚至通过小黑身份去搞破坏。就跟qq微信被盗骗一样

而同源策略就会去阻止这种行为,当B网站向浏览器请求A网站的cookie时,浏览器会检测B网站和A网站是否同源(域名、协议、端口相同),如果非同源,就会拒绝该请求,使B网站无法获取A网站的cookie

3、判断是否同源

注意:localhost和127.0.0.1虽然都指向本机,但也属于非同源

4、跨域问题

前面说到,如果非同源就无法进行数据请求,那如果A网站和B网站非同源,却偏偏要请求数据,该怎么办呢?

在前后端分离的项目中,都会出现跨域问题

前端部署在80端口,是http://1.1.1.1:80   A服务器

后端部署在81端口,是http://1.1.1.1:81   B服务器

解决跨域的问题有好几种,不过原理都很相似,采用代理的方法。

只要A和B都跟代理服务器实现了某种接口,使得A和代理服务器、B和代理服务器都不存在跨域,

那么只要A在请求B的数据时,将请求发给代理服务器,代理服务器就会将A的请求发给B,再将B返回的数据发给A,这样就解决了跨域的请求。

 在实际应用中,跨域的解决办法会有所不同,怎么简单怎么来,哪种最安全就选哪种。

 比如使用nginx时就可以选择nginx反向代理解决跨域问题。。。

又比如vue的axios,可以选择在前端服务器配置反向代理解决跨域问题。。。

imz丶
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
CookieCookie简介以及跨域问题
Ez4Sterben的博客
06-29 2553
cookie是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookie就好像你的一张身份证,你电脑上的cookie和其他电脑上的cookie是不一样的。首先我们打开一个页面按F12在应用中我们可以找到Cookie,其中的Domain就是Cookie所述的域名,跨域就是默认情况下Cookie是无法被携带到其他域名下的当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域当前页面url被请求页面url是否跨域原因。
浏览器同源策略Cookie的作用域
热门推荐
大鹏
11-25 1万+
如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。 一、    浏览器同源策略 1.1   概述        1995年,同源政策由 Netscape 公司引入浏览器
web前端同源策略是什么?
āáǎà
05-08 792
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
跨域和同源
MoYuP_ENG的博客
09-29 481
JSONP和Ajax之间没有任何关系,不能把JSONP请求数据的方式叫做Ajax,因为JSONP没有用到XMLHttpRequest这个对象,发起的是一种js脚本类的请求。默认情况下,使用jQuery发起JSONP请求,会自动携带一个callback=jQueryxxx的参数,jQuery是随机生成的一个回调函数名称。所以可以通过标签src属性,请求跨域的数据接口,通过函数调用的形式,接收 跨域接口响应回来的数据。节流:减少事件触发的频率,有选择性的执行一部分事件。
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 954
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
同源策略介绍
weixin_44174581的博客
08-11 1735
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
Cookie同源策略
最新发布
Nanki_的博客
01-19 592
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 336
三、跨域的处理方式(3种)
同源策略cookie中的path
工作学习笔记
06-27 634
【代码】浏览器同源策略
深入浅析同源策略和跨域访问
11-22
 理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。  同源...
JavaScript同源策略和跨域访问实例详解
01-19
理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 何谓同源: URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 同源策略: 浏览器...
完美解决AJAX跨域问题
01-19
是由于javascript的同源策略(这里不作深入探讨)所导致。 解决的办法,大概有如下几种: 1. 使用中间层过渡的方式(可以理解为“代理”): 中间过渡,很明显,就是在AJAX与不同域的服务器进行通讯的中间加一层过渡...
跨域解决之JSONP和CORS的详细介绍
01-19
JSONP跨域和CORS跨域 什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
详解JavaScript跨域总结与解决办法
11-28
首先什么是跨域,简单地理解就是因为JavaScript同源策略的限制,a.com 域名下的js无法操作b.com或是c.a.com域名下的对象。更详细的说明可以看下表: URL 说明 是否允许通信 http://www.a.com/a.js ...
渗透测试基础知识普及之CSRF
Zhongdongding的博客
04-21 642
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者通过伪造用户的请求,来执行一些非法操作,例如修改账户信息、发表评论、转账等。在进行安全渗透测试时,测试人员需要对应用程序进行CSRF测试,以发现和修复潜在的漏洞。测试人员可以使用Burp Suite等工具,来修改请求头中的CSRF Token,以绕过防御机制。同时,也需要定期进行安全渗透测试,以发现和修复潜在的漏洞。总之,进行CSRF测试需要测试人员具备一定的技能和经验,以发现和修复潜在的漏洞。
浏览器同源政策及其规避方法
de683905的博客
11-13 132
浏览器安全的基石是”同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍”同源政策”的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不...
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题
TTianYe的博客
04-15 2508
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
同源策略与跨域的解决方案
失眠时间的博客
05-12 1378
总所周知,同源策略是导致跨域的原因,那么什么是同源策略,又可以如何解决跨域的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何跨域问题同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
vue项目常见问题及解决方法
09-05
1. 跨域问题:在Vue项目中,由于浏览器的同源策略限制,经常会遇到跨域问题解决方法可以使用代理服务器来转发请求,或者在后端接口中设置允许跨域请求的头信息。 2. 路由问题:有时候会遇到路由跳转不成功或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值