跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials

已于 2022-10-21 11:45:26 修改
阅读量1.8k 收藏 5
点赞数
分类专栏: 前端开发 文章标签: ajax javascript 前端
于 2021-12-01 00:31:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yexudengzhidao/article/details/121644741
版权

跨域,注意是浏览器设置的同源策略,是在浏览器端限制的,也就是在当前域名下发送的xhr请求是否和当前域名同域。
如果跨域了,可以通过设置Access-Control-Allow-Origin来解决跨域;
如果是同域,则cookie自动被带上,如果是跨域,则需要设置withCredentials(chorme浏览器94以前的版本);
在这里插入图片描述

如果是在BBB里执行console.log(window.location),则打印的是BBB的location。

同域下不一定能携带cookie??这好像还和samesite有关系

不同域下即使设置withCredentials也不一定能携带cookie
在这里插入图片描述
跨站与跨域的区别:
跨域:浏览器的安全策略,协议、域名、端口只要有一个不同就跨域;
跨站:顶级域名+二级域名 不同就跨站;

  • X-Frame-Options作用
 <div id="pageId" style='height: 400px;'>
     <iframe
          name="frameName"
          allowtransparency="true"
          allow="fullscreen"
          width="100%"
          height="100%"
          src='https://www.baidu.com/'
          frameBorder='no'
          scrolling="no"
      ></iframe>
</div>

在这里插入图片描述
打开百度首页,发现确实设置了该属性
在这里插入图片描述

参考:
https://juejin.cn/post/6844904095271288840

跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials

. . . . .
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
adn-site
03-28
- JSONP(JSON with Padding)和CORS(Cross-Origin Resource Sharing)是JavaScript处理跨域请求的常见方法。 9. 性能优化: - 使用事件委托减少事件监听器的数量。 - 避免阻塞主线程,合理使用setTimeout和...
ArcGIS server tomcat crossdomain.xml
03-27
然而,需要注意的是,虽然`crossdomain.xml`对Flash和某些老版本的浏览器有效,但现代浏览器(尤其是那些不支持Flash的)通常依赖于CORS(Cross-Origin Resource Sharing)头部来处理跨域请求。因此,在ArcGIS ...
同源、跨域跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4532
系统性梳理前端同源策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域跨站问题解决方法。
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 4840
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
XSS(Cross Site Scripting)跨站脚本攻击
Eason_LYC安全白帽子的成长博客
05-13 2863
XSS最为全面的知识点梳理总结,并有公开靶场配合知识点练习。含金量十成十
【web】 Cross-Origin Resource Sharing(CORS)协议介绍 & 跨域(Access-Control-Allow-Origin)
m0_45406092的博客
02-22 502
文章目录1. 概述2. CORS协议2.1 简单的COR请求2.2 复杂请求3. CORS协议的实现4. 服务端实现5. 参考 1. 概述 传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如
入门前端-Vue 解决跨域问题
龙衣
09-11 293
什么是跨域 跨域俗称跨源资源共享(CORS)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。 跨域本质是浏览器基于同源策略的一种安全手段 同源策略(Sameoriginpolicy),是一种约定,它是浏览器最核心也最基本的安全功能 所谓同源(即指在同一个域)具有以下三个相同点 协议相同(protocol),如:http或者https 主机相同(host),如:192.168.1.1或者192.168.1.2 端口
axios.defaults.withCredentials = true 前端跨域传递Cookie设置
热门推荐
xiaoyuer_2020的博客
10-10 3万+
登录之后的请求会带登录用户信息,需要把登录时的cookie设置到之后的请求头里面。而跨域请求要想带上cookie,必须要在vue的main.js里加上axios.defaults.withCredentials = true。withCredentials 属性是一个Boolean类型,它指示了是否该使用类似cookies,authorization,headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制(cross-site Access-Control)请求。 axi.
Access-Control-Allow-Origin 跨域
博客
09-13 806
什么是跨域JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。在某域名下使用Ajax向另一个域名下的页面请求数据,会遇到跨域问题。怎样才能算跨域?协议,域名,端口都必须相同,才算在同一个域。通常来说,跨域分为以下几类: url 说明 是否允许通讯http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://
chrome拓展 跨站_Chrome插件跨域XMLHttpRequest
weixin_39884270的博客
12-30 656
常规网页可以使用XMLHttpRequest对象从远程服务器发送和接收数据,但是它们受同一原始策略的限制。内容脚本代表已将内容脚本注入的Web起源发起请求,因此,内容脚本也应遵循相同的起源策略。(自Chrome 73以来,内容脚本一直受CORB的限制,而自Chrome 83以来,内容脚本一直受CORS的限制。)扩展来源不受限制-在扩展的背景页面或前景选项卡中执行的脚本可以与源之外的远程服务器进行对...
php+ajax+access-control-allow-origin,【跨域】解决办法:利用 Access-Control-Allow-Origin
weixin_30899023的博客
04-04 610
跨域】解决办法:利用 Access-Control-Allow-Origin传统的跨域请求没有好的解决方案,无非就是jsonp和iframe,随着跨域请求的应用越来越多,W3C提供了跨域请求的标准方案(Cross-Origin Resource Sharing)。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Reso...
Java Spring boot 2.0 跨域问题的解决
08-27
可以在 Controller 或方法上使用 @CrossOrigin 注解,以便允许跨域请求。例如: ```java @CrossOrigin(origins = "*", maxAge = 3600) @RestController @RequestMapping("/account") public class ...
PHP实例开发源码-风吟PHP版 HTMLJS互换工具.zip
10-19
10. **安全实践**:防止SQL注入、XSS攻击(Cross-Site Scripting)和其他网络安全威胁是PHP开发中不可忽视的部分。使用预编译语句、转义输出、验证用户输入等方法能增强应用安全性。 这个压缩包的源代码可能包含了...
ajax图书管理项目
E___V___E的博客
08-03 340
不离开当前页面,显示单独内容,让用户操作功能:不离开当前页面,显示单独内容,供用户操作步骤:1.引入bootstrap.css和bootstrap.js 2.准备弹框标签,确认结构3.通过自定义属性,控制弹框的显示和隐藏。
牛客JS题(二十一)数组扁平化
最新发布
不起眼小菜菜的博客
08-04 598
注释很详细,直接上代码……
VUE3自定义指令防止重复点击多次提交
MadSnail00的博客
07-30 322
vue3连续点击按钮重复提交,vue3自定义指令防止重复提交
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 938
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
strict-origin-when-cross-origin 跨域
08-18
跨域问题 "strict-origin-when-cross-origin" 是由于服务器端设置了多次跨域引起的。通常情况下,只需要在服务器端设置一次跨域即可。在你提供的引用中,可能是在Nginx/Gateway设置了一次跨域,而被调用的微服务项目又额外设置了一次跨域,导致前端在访问服务器时发生了两次跨域请求,从而导致了这个问题的出现。要解决这个问题,你可以检查并确保只在一个地方进行跨域设置,而不是重复设置跨域。确保在Gateway网关或者微服务项目中只设置一次跨域即可。这样可以避免出现"strict-origin-when-cross-origin"跨域报错。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* *2* [Strict-origin-when-cross-origin跨域问题](https://blog.csdn.net/qq_36971119/article/details/121401468)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

. . . . .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值