浏览器同源策略和跨域

最新推荐文章于 2022-08-24 12:10:02 发布
最新推荐文章于 2022-08-24 12:10:02 发布
阅读量404 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Slartibartfast/article/details/82020759
本文介绍了浏览器的同源策略及其安全限制,包括不允许JavaScript代码跨不同源进行操作。接着详细讲解了跨域的三种常见方法:设置`Document.domain`,跨域资源共享CORS(包括简单请求和非简单请求的处理方式),以及JSONP。这些方法常用于实现不同源之间的数据交互和API调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

同源策略

同源策略是对JavaScript代码对Web内容的操作权限的一个安全限制。

它规定了一段JavaScript代码只能对来自相同网络协议相同域名相同端口的Web内容进行操作。

举个例子:

 http://www.example.com https://www.example.com    不同源!网络协议不同
 http://www.example.com:3000 http://www.exampke.com:80 不同源!端口不通
 http://www.example.com http://wap.example.com 不同源!域名不同

值得注意的是:本机地址127.0.0.1和localhost也是不同源的

 

跨域方法

一、设置Document.domain

domain默认存储的是当前页面完整的域名(主机名),但是可以修改

当两个窗口将domain的值设为相同的值后,就能进行跨域交互。

这种方法多用于一个主站,多个子域的网站。

使用方法:

Document.domain='example.com'

domain的值必须带有顶级域名

也不能只有顶级域名

需要'example.com'或者‘a.example.com’类似的格式

二、跨域资源共享CORS

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

简单请求

(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值 application/x-www-form-urlencoded , text/plain , multipart/form-data

使用方法:

Web端:

需要发送一个XMLHttpRequest请求,格式和Ajax一样

不同的是,浏览器会自动添加一个Orangin请求头,表示发起请求的域,而且如果请求域不在允许范围内,不能通过状态码检测到错误,可能会返回200;

服务端:

header('Access‐Control‐Allow‐Origin: *');//设置响应头

服务端响应会返回三个有关的头信息:

Access-Control-Allow-Origin:             允许请求的域

Access-Control-Allow-Credentials:    是否允许发送cookie

Access-Control-Expose-Headers:       可以返回的字段,如未设置,只返回六个基本头信息

非简单请求

除了简单请求三种方式之外的请求方式,都为非简单请求,

非简单请求浏览器会发送一个预检信息

包括:

Origin: 请求域

Access-Control-Request-Method:请求方法

Access-Control-Request-Headers:逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段

预检回应:

Access-Control-Allow-Methods

Access-Control-Allow-Headers

Access-Control-Allow-Credentials

Access-Control-Max-Age:预检有效期单位为秒,有效期为20天

三、jsonp

jsonp是一种利用script标签进行跨域请求的方法,只支持GET方式并且需要服务端配合,数据以函数参数的形式返回到请求端;

使用方法:

<script src="http://www.example.com?callback=foo"></script>

服务器返回的数据格式:

foo({
"data":"hello world"
})

因为数据是以函数参数的形式返回,所以可以直接调用。

外链:https://www.slartbartfast.cn/articlePage.php?articleid=250

【前端学习——网络相关】浏览器同源策略
Everglowwwwww的博客
05-03 904
帮助阻隔恶意文档,减少可能被攻击的媒介。(就是为了。
同源策略
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 9万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
解决了设置了Access-Control-Allow-Origin: *还是的问题。
热门推荐
晏紫苏_cc的博客
06-02 13万+
说起请求,大家首先想到的就会是设置请求头Access-Control-Allow-Origin: *。但是有时候只设置这么一样还是解决不了的问题就要分的比较细的设置请求头了: access-control-allow-headers: Authorization, Content-Type, Depth, User-Agent, X-File-Size, X-Requested-Wit...
hosts文件详解--localhost127.0.0.1
benben的博客
02-03 7万+
localhost是一个名,127.0.0.1为IP地址。Windows系统中,约定127.0.0.1为本地IP地址。localhost是其对应的名。配置是在hosts文件中设置的,Windows下该文件位置为:C:\Windows\System32\drivers\etc目录下hosts文件。 hosts文件 那么这个hosts文件的作用是什么呢?其是它是一个没有扩展名的系统文件,可以用...
Java中设置多个Access-Control-Allow-Origin访问
个人博客
07-11 1万+
1、如果服务端是Java开发的,添加如下设置允许即可,但是这样做是允许所有名都可以访问,不够安全。 response.setHeader("Access-Control-Allow-Origin","*"); 2、为保证安全性,可以只添加部分名允许访问,添加位置可以在下面三处任选一个。 (1)可以在过滤的filter的dofilter()方法种设置。 (2)可以在servlet...
Origin null is not allowed by Access-Control-Allow-Origin解决方案
越努力,越幸运~~
09-09 4552
今天学习mootools的ajax时候,遇到一个问题, 页面ajaxData.txt在同一个目录下,查了一下是浏览器的安全机制导致的:浏览器会禁止加载本地文件。如果把文件或者是整个工程放在服务上就不会存在这个问题了。 还有一种解决方案,就是在启动浏览器的时候修改启动参数: --allow-file-access-from-files
详解基于浏览器同源策略的几种方式
09-22
浏览器同源策略是Web开发中的一项重要安全机制,它防止了不同源之间的文档或脚本相互干扰,以保护用户隐私安全性。同源策略规定,只有当两个网页的协议、端口号都相同时,这两个网页才属于同一个源,否则...
Access-Control-Allow-Origin解决及详细介绍
MicroAnswer的博客
11-05 9万+
解决问题。详细介绍了的相关内容。
Access-Control-Allow-Origin
忘忧的博客
12-06 1440
如何解决的问题 我们在使用Spring boot+vue开发前后端分离的项目时,会提示Access-Control-Allow-Origin问题。 Caused by: java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the "Ac
Origin XX is not allowed by Access-Control-Allow-Origin.解决办法
不啦草的草原
06-04 3万+
Origin XX is not allowed by Access-Control-Allow-Origin.  其实就是  js 访问问题 什么引起了ajax不能请求的问题? ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行操作,所以会警告。   解决方法   红色是重点的地方。
Access-Control-Allow-Origin与
程序新视界
02-19 1万+
什么是?JavaScript出于安全方面的考虑,不允许调用其他页面的对象。在某名下使用Ajax向另一个名下的页面请求数据,会遇到问题。怎样才能算?协议,名,端口都必须相同,才算在同一个。通常来说,分为以下几类: url 说明 是否允许通讯 http://www.a.com/a.js http://www.a.com/b.js 同一名下 允许
使用Access-Control-Allow-Origin解决
qq_29055201的博客
03-23 2020
什么是 当两个具有相同的协议(如http/https),相同的端口(如80),相同的host( www.baidu.com),那么我们就可以认为它们是相同的(协议,名,端口都必须相同)。 是指协议,名,端口不一致,出于安全考虑,的资源之间是无法交互的。 解决方案 解决方案是很多的,如前端通过jsonp, window.name , location.hash, window.d...
Access control allow origin 简单请求复杂请求
wangjun5159的专栏
10-13 9万+
错误信息: XMLHttpRequest cannot load http://web.image.myqcloud.com/photos/v2/10008653/bhpocket/0/?sign=4FcLKd5B8…p4SkFVUEJtZ1omZT0xNDQ0NzExMDE5JnQ9MTQ0NDcwNzQxOSZyPTEzMDMyMDgzOTAmdT0wJmY9. No 'Access-Co
root-minuit-6.30.08-1.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
rpminspect-data-generic-2.0-1.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
系统镜像(Incomplete)
最新发布
08-17
系统镜像(Incomplete)
理解浏览器同源策略:原理、IE特性通信
同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止资源共享(Cross-Origin Resource Sharing, CORS)时的潜在安全风险。源的概念源自于网络地址,它由协议(如http或https)、主机名(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值