【跨域共享】前端请求资源时遇到的问题

最新推荐文章于 2024-05-08 09:15:00 发布
原创 最新推荐文章于 2024-05-08 09:15:00 发布 · 395 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #http #restful

本文探讨了在前端开发中遇到的跨域问题,包括使用axios.get请求数据时的错误,iframe嵌入网站的安全限制,以及同源策略和CORS等。文章详细介绍了如何通过API获取天气数据,如何处理iframe的`X-Frame-Options`限制,以及跨域资源共享(CORS)和代理转发作为解决跨域的方法。同时,文章提醒开发者注意API密钥的安全管理,不应将其硬编码在代码中。

实现功能

Api restcountries.com 以机器可读的格式,提供了不同国家的大量数据。创建一个应用,可以查看不同国家的数据。 应用能从all中获取数据。用户界面非常简单。 通过在搜索字段中键入搜索查询,可以找到要显示的国家。

1.在显示单个国家数据的视图中添加该国首都的天气报告。 有几十个天气数据提供商。 推荐的一个API 是 openweathermap.org

2.当少于10个国家,但多于1个,则显示所有匹配查询的国家,在国家名称旁边有一个按钮,当按下该按钮时,显示该国的视图:

image.png

API提供给本例的JSON数据形式:
  1. 天气,给了首都的经纬度

image.png

  1. 地图,给了地图的链接

maps.png

用axios.get请求数据时遇到问题

1.从OpenWeatherMap获取天气

axios.get(url,(req,res)=>{ })请求提供的网址,报错:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aJ1R2cQS-1652407280255)(https://p6-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/a9d6462cf6e74eb19f757040b96b459b~tplv-k3u1fbpfcp-zoom-in-crop-mark:1956:0:0:0.image?)]

这波纯属没搞清get请求url的原理,操作失误了,直接用了提供的网站地址。进官网后可以看到其实是提供了天气查询的API接口的,需要注册,生成一个api-key,然后根据文档使用,很简单。

进入官网,注册账号: image.png 生成api-key: image.png

注意:不要将 api-key 保存到源代码管理Git中,也不能将 api-key 硬编码到源代码中。使用环境变量来保存密钥。

将密钥保存到.env文件:

# .env
REACT_APP_API_KEY='b2a8f5dc976ea04b6153bbf7b9bfe1b8'

然后从 process.env 对象访问密钥的值:

const api_key = process.env.REACT_APP_API_KEY
// variable api_key has now the value set in startup

调用形式官网都可以看到openweathermap.org/current

用iframe框架嵌入网站时遇到的问题

  1. 本来想用API返回给我们的url,直接<iframe src="https://goo.gl/maps/tiQ9Baekb1jQtDSD9"></iframe>标签嵌套一个谷歌地图,结果浏览器报错:

image.png image.png 原因:不是所有网站,直接复制网址出去就给iframe/object嵌套的,浏览器会依据X-Frame-Options的值来控制iframe/object框架的页面是否允许加载显示,这里sameorigin ,表示只能被同源的iframe 引用,跨域名的iframe 没法显示了。所以解决这个问题一般是在server端,设置http请求头。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。

非要用iframe嵌套这个这个地图到我自己网站呢?要看这个网站本身有没有提供一个可以<iframe>嵌入页面的代码。包括想嵌入一些视频网站的视频,音乐,都可以直接上网站然后找网站自己提供给我们的适用的iframe代码。点进API返回的网址,可以显示地图,发现有提供:

image.png

但我们从数据库只能获取到该url,并不能得到适用于嵌套的代码(除非写爬虫)。纯前端不能解决,最终找到一种思路:

将不能跨域访问的url的host设置为你网站的域名,这一步是为了即使浏览器对url发起请求,因为host是你服务器的域名,请求也会进入到你的服务器;第二步用中间件,去掉响应头里的x-frame-options限制。这样就类似于模拟了从浏览器空页面直接访问的效果,规避了同源限制。

源的继承:在页面中通过 about:blankjavascript: URL 执行的脚本会继承打开该 URL 的文档的源,因为这些类型的 URLs 没有包含源服务器的相关信息。

目前代码上还没有解决,之后解决了再来更新吧目前代码上还没有解决,之后解决了再来更新吧目前代码上还没有解决,之后解决了再来更新吧或许题目要求我实现点击按钮跳转呢,直接设置button的onClick,window.open(event.target.value)解决,所以要考虑需求和后端给的数据合不合理呢!!!

同源策略和跨域资源共享

如果两个 URL(Universal Resource Locator 统一资源定位符,俗称网页地址)的 协议protocol/主机host/端口port(如果有指定的话) 都相同的话,则这两个 URL 是同源。同源策略是一个重要的安全策略,它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。违背同源策略就是跨域。

image.png

网上有很多解决跨域方案

CORS

是一种基于HTTP头的机制,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。

代理转发

同源策略是浏览器设置的安全策略,我们只要不通过浏览器直接发送请求,而是通过服务器来发送请求,服务器和服务器之间可以互相请求数据,没有跨域概念,我们配置一个代理的服务器代替客户端去请求目的服务器中的数据,然后代理服务器把请求到的数据再返回到客户端。

浏览器请求响应模型

最后再温习一下:

AI_boom
关注
彻底理解前端安全面试题(3)—— CORS资源共享,解决问题,建议收藏(含源码)
有一棵树的博客
01-03 2899
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于问题已经总结完成,本篇文章详细介绍了如何使用并配置CORS、JSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
前端问题全解析:原理、解决方案与最佳实践
最新发布
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
02-11 2009
CORS(Cross-Origin Resource Sharing)是 W3C 定义的一种机制,:安全性高,支持复杂请求(POST、PUT、DELETE)。(Cross-Origin Request)是指。问题是 Web 开发中不可避免的问题,但通过。:需要后端支持,不适用于第三方 API。,可以轻松解决不同场景下的需求。其中任何一个不同,就会触发。,问题都是一个绕不开的挑战。,提供实战示例和最佳实践。限制了不同源之间的请求。通过 Nginx 代理,,Nginx 会代理到。
双17期|资源共享错误该前端还是后端处理?
布知什么
06-01 122
theme: channing-cyan highlight: a11y-dark 双17期|资源共享错误该前端还是后端处理? tips:每个技术点都值得优学优写:17期 一、写在前面 导读:本文旨在讲清楚资源共享(CORS)的由来,CORS 的一些限制,以及解除这些限制的方法。不重在提供更多的解决方案,尽管一些同学更喜欢上来就要答案,而不是看推演和分...
前端提高篇(115):简单了解CORS资源共享
安之ccy的博客
04-15 361
1.基本概念 同源,指的是协议、名、端口均一致 之前提到的ajax遵循同源策略,之前我们用jsonp技术,借用script的src不受影响的特性来请求资源,但有一定的局限性,仅支持GET请求;还有一种打破限制的方法,就是CROS,可以支持所有类型的HTTP请求 cross-origin resource sharing(CORS)资源共享:是一种使用额外HTTP首部实现获取资源权限的机制 XMLHttprequest获取非同源资源会被浏览器拦截,除非响应报文包含了正确CORS响应头 官网链
前端JS数据交互之
敦煌壁画的博客
06-03 467
:指的是浏览器不能执行其他网站的脚本。它是由浏览器同源策略造成的,是浏览器对javascript施加的安全限制。例如:a页面想获取b页面资源,如果a、b页面的协议、名、端口、子名不同,所进行的访问行动都是的,而浏览器为了安全问题一般都限制了访问,也就是不允许请求资源。注意:限制访问,其实是浏览器的限制。在后端利用Nginx进行反向代理设置,例如将81请求转发到82上 不过这是后端的事情。作为前端初学者,了解即可。CORS是一个W3C标准,全称是"资源共享"(Cross-origi
前端浏览器的问题
qq_40409143的博客
06-28 1285
相信前端开发必定少不了这个问题。 什么是是浏览器的行为,问题其实就是浏览器的同源策略所导致的。同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 当候会报如下错误: 以下协议、名、端口一致。 http://www.example.com:80/a.js http://www.example.com:80/b.js 以下这种看上去再相似也没有用,都不是同源。 http:
前端代码布置到服务器端后找不到静态资源
u014266077的博客
12-09 7875
前端页面代码布置到服务器SpringMVC后,经常出现静态资源不到问题。 首先,应该设置springMVC,使其不要拦截静态资源。在springMVC的配置文件中添加如下代码:<mvc:annotation-driven /> <mvc:resources location="/image/" mapping="/image/**"/> <mvc:resources location
Django资源共享问题(推荐)
09-17
当客户端发起非简单请求,浏览器首先会发送一个预检请求(OPTIONS请求)来询问服务器是否允许本次请求。例如,如果前端尝试使用PUT方法更新后端资源,则会发送一个预检请求。服务器需要在响应中包含必要的CORS...
解决ajax请求数据cookie丢失问题
10-24
在开发中,当我们使用Ajax技术发起请求,可能会遇到一个问题:由于浏览器同源策略的限制,请求默认不携带cookie信息。这给需要在不同之间进行身份验证和状态跟踪的Web应用带来了挑战。本文将通过前端...
js资源共享 基础篇
10-22
资源共享(CORS)是现代Web开发中解决问题的关键技术,它允许开发者在遵守安全策略的前提下,实现不同之间的资源访问。实现CORS需要在服务器端进行适当配置,通过设置适当的HTTP响应头,从而允许或拒绝不...
前端优化——减少http请求和减少请求资源大小
weixin_34261739的博客
03-03 1090
减少http请求等于合并请求资源,减少请求资源大小等于压缩资源。 复制代码 合并请求 合并请求是指将多个请求合并成一个请求,下图可直观看出多个请求的缺点 不合并请求缺点: 增加了N-1个网络延迟 受丢包问题影响更严重 经过代理服务器可能被断开 既然合并请求如此之好,为何不写一个大的js将所有的js合并到一起?合并请求也是有缺点的现在大量的单页面应用Vue/React 合并js后会比之前的j...
三、HTTP缓存---需要了解浏览器相关知识--浏览器请求服务器资源---缓存
qq_43631129的博客
08-18 749
前端---需要了解浏览器相关知识--浏览器请求服务器资源---缓存
梳理:提高前端性能方面的处理以及不足
lomenw的博客
10-08 970
一、清明节雨纷纷 明儿个清明节了,也是我在现在公司三年合同到期的间,本来计划换个地方的,无奈面试智商低、个性不收敛、略显随性,面了两家心仪公司,都在最后被拒了。我跟总监说了这事,他说我是挺亏的(毕竟不是因为技术能力不足被拒),他建议我把棱角再磨掉些。要磨吗? 先不说这个,毕竟我还年轻,机会还会有,所以当作扩展眼界、自我学习的好机会。return; 面试候,有被提问网站性能优
前端处理的九种方式(超级详细)
贫僧法号依平
05-08 2万+
指一个下文档或者脚本去请求另一个下的资源,这里的是广义的;同源策略(Same origin policy),简称SOP,是一种约定,它由Netscape公司1995年引入浏览器,它是浏览器核心也是最基本的安全功能,如果缺少同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指“协议+ 名+ 端口”三种相同;
m3u8下载出现的解决方法
定期分享编程干货~
06-14 4426
m3u8下载出现复制下面的代码当无法下载,资源发生限制,在视频源页面打开控制台,注入代码解决,点击复制下面代码 // 注入html let $section = document.createElement('section') $section.innerHTML = `<!doctype html> <ht...
如何使用 Python 请求网络资源
Free雅轩的博客
10-23 967
这个响应是一个对象,包含请求资源的内容和状态。系统相关的知识,所以可能会有朋友误以为我们只分享 Linux 操作相关的东西,其实不是啊,我们在平开发过程中遇到的一些问题,感觉可以总结的,都有可能拿来分享。有些网络资源对于请求的响应可能做了限制,比如阻止机器人(程序)访问,或者需要登录(有用户会话)才能访问,为此,可以在请求中添加请求头,在请求头中模拟浏览器,添加用户会话信息(token)等。为了有一个整体的认识,大家可以先使用浏览器打开这个地址,看看里面的内容,它是一个以 json 格式展现的文本。
操作系统第三章:银行家算法
热门推荐
你说的白是什么白_
10-22 2万+
文章目录银行家算法1. 银行家算法中的数据结构2. 银行家算法的处理步骤3. 安全性算法4.举例5.银行家算法总结 银行家算法 银行家算法是最有代表性的避免死锁的算法。 由于该算法能用于银行系统现金贷款的发放而得名的。 1. 银行家算法中的数据结构 设系统中有m类资源,n个进程 (1)可利用资源向量Available。含有m个元素的一维数组,每个元素代表一类可利用的资源数目。 如果Available[j]=k,表示系统中现有Rj类资源k个。 (2)最大需求矩阵Max, 是一个n*m的矩阵,定义了系统中n个
nginx
Cadillac_Yuhuang的博客
10-25 1049
nginx 文章目录nginxnginx的工作原理web服务器请求资源的过程1. 建立连接2. 接收请求3. 处理请求4. 访问资源5. 构建响应报文6. 发送响应报文7. 记录日志nginx的配置nginx常见的配置文件及其作用nginx.conf配置详解 nginx的工作原理 nginx以高性能的负载均衡器,缓存,和web服务器闻名。nginx由内核和模块组成,其中,内核的设计非常微小和简洁,完成的工作也非常简单,当它接到一个HTTP请求,仅仅通过查找配置文件将客户端请求映射到一个location b
HTTP 请求和响应的原理以及常见问题、解决办法
qq_42107247的博客
05-08 1831
法 在现代 Web 开发中,HTTP 请求和响应是最基本的通信方式。这两者是通过 HTTP 协议进行交互的,在前端和后台开发中都需要对其处理有一定的了解。我将为大家介绍 HTTP 请求和响应的处理原理以及常见问题和解决办法。
掌握jsonp技术,轻松解决前端请求问题
由于限制,开发人员在进行异步数据请求会遇到困难。为了解决这个问题,JSON with Padding(JSONP)技术应运而生。JSONP允许客户端从不同的名加载数据,通过动态创建`<script>`标签来实现,因为`<script>`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值