05-同源和跨域

最新推荐文章于 2025-11-24 02:17:16 发布
原创 最新推荐文章于 2025-11-24 02:17:16 发布 · 66 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #es6 #php

同源和跨域

同源

同源策略是浏览器的一种安全策略,所谓同源是指,域名,协议,端口完全相同。

跨域问题的解决方案

从我自己的网站访问别人网站的内容,就叫跨域。

出于安全性考虑,浏览器不允许ajax跨域获取数据。

  • iframe:处于安全性考虑,浏览器的开发厂商已经禁止了这种方式。

  • JSONP:script 标签的 src 属性传递数据。

JSONP

JSONP(JSON with Padding):带补丁的 json,本质是利用了 <script src=""></script>标签具有可跨域的特性,由服务端返回一个预先定义好的JS函数的调用,并且将服务器数据以该函数参数的形式传递过来。此方法需要前后端配合完成。

我们知道, html标签的 src 属性是支持跨域的:

	<img src="http://img.smyhvae.com/2016040101.jpg" alt="">

jsonp 就是利用这个特性实现的跨域,但用的是 script 标签。如下:

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>

<!-- jsonp 就是 利用 src,实现的跨域 用的是 script标签 -->
<script type="text/javascript"  src='http://192.168.141.137/2018-02-28/myData.php'></script>
</body>
</html>

上方那一行的代码,意思是:刷新A服务器上的index页面后,会去请求 B 服务器上的 myData.php 这个页面。而且请求的方式是 get 请求。

但是 B 服务器上的页面不是你想请求就可以请求的,大家一起配合才可以。

具体实现步骤:

需要首先声明的是,jsonp 只能通过 GET 方式进行请求。

(1)A客户端的代码:

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>

</body>
</html>
<script type="text/javascript">

	// 定义 eatFood()方法
	function fn(data) {
		console.log('我被调用了哦');
		console.log(data);
	}
</script>

<!-- 使用 script标签 发送了 get请求 去到了一个 php页面 -->
<script type="text/javascript" src='http://192.168.141.137/01.php?callback1=fn'></script>

我们来分析上方代码中的最后一行的那个url:A 客户端请求的是 B服务器上的 01.php页面。url里有个callback1=fn,意思是:callback1是A和B 之间的约定,约定后,将执行方法 fn。

其实,fn方法已经在最后一行代码中执行了。只不过,fn方法里的data数据,是从 B 服务器中获取的。

(2)B服务器端的代码:

<?php
    $mycallBack = $_GET['callback1'];

	$arr = array("zhangsan","lisi","zhaoliu");

    echo $mycallBack."(".json_encode($arr).")";    //字符串拼接
?>

代码解释:

第一行的callback1 是A和B之间的约定,二者必须一致。

echo语句中输出的内容,即要返回给A客户端的内容,此内容会保存在 A 客户端的fn方法的data里。 data[0]指的是 zhangsan。

json_encode指的是,将php对象转化为 json。

刷新A页面,输出结果为:

	mycallBack(["zhangsan","lisi","zhaoliu"])

jQuery 中的 JSONP

我们知道,jQuery 中发送 Ajax 请求,格式是:

		$("#btn").click(function(){
			$.ajax({
				url:"./data.php?callback1=fn",
				dataType:"jsonp",
				type:"get",
				//jsonp:"callback1",   //传递给B服务器的回调函数的名字(默认为 callback)
				//jsonCallBack:"fn"    //自定义的函数名称。默认为 jQuery 自动生成的随机函数名
				success:function(data){
					alert(data);
					//$("#showInfo").html(data);
				},
				error:function(e){
					console.log(e);
				}
			});
		});

那如果数据是 JSONP,上方代码则改为:

		$("#btn").click(function(){
			$.ajax({
				url:"./data.php?fn",
				dataType:"text",
				type:"get",
				success:function(data){
					alert(data);
					//$("#showInfo").html(data);
				},
				error:function(e){
					console.log(e);
				}
			});
		});

参考链接

参考链接:https://www.cnblogs.com/2050/p/3191744.html

前端面试必备之同源详解
09-22
是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同上(即名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源的相关资料,文中通过示例代码...
JavaScript异步编程——04-同源
——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
05-08 1458
史诗级JavaScript异步编程学习,快来订阅专栏吧!
Node.js -- 同源
Sco_jing的博客
09-10 277
欢迎学习交流!!! 持续更新中… 文章目录同源政策 同源政策 如果两个页面拥有相同的协议、端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源同源政策的目的: 同源政策是为了保护用户信息的安全,防止恶意的网站窃取数据。最初的同源政策是指A网站在客户端设置的Cookie,B网站是不能访问的 随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项g ...
一文带你理清同源
.NET快速开发框架
06-20 920
同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。出于安全考虑,浏览器限制从JS脚本发起的源HTTP请求。 通俗的理解:浏览器规定,A 网站的 JavaScript,不允许同源的网站 C 之间,进行资源的交互
同源
前端小菜鸟也有人起的博客
04-03 423
同源
【Ajax】同源
微子细的博客
07-19 146
本文笔记基于「千古壹号」的GitHub项目:https://github.com/qianguyihao/web 非商业用途自由转载,保持署名,注明出处! 文章目录1.基础2. JSONP 1.基础 同源:是浏览器的安全策略之一,指名、协议、端口均相同。 :从自己网站访问他人网站 ajax不被允许获取数据。原因:web安全 标签内的src属性支持,如下:刷新页面后只能通过get请...
同源及解决方案
qq_36958206的博客
10-13 127
解决方案 【1】jsonp 利用了script标签,script标签不会造成问题 示例代码如下: <script> function fu(a) { console.log(a); }</script> <script src="./b.json?callback=fu"></script> 缺点:只能发送get请求 【2】cors 需要后端设置head标签,前端以前一样使用ajax ...
同源的知识点
北寻北爱
03-01 915
同源 1.同源的概念 同源(也叫同源策略),是浏览器中的一种安全机制 2.同源的规则 同源指‘三个相同’,协议相同,名相同,端口号相同(简单来说,就是同一个网站) 3.同源的目的 是为了保护用户信息的安全,防止恶意网站窃取信息 4.同源策略的限制范围(也就是不同源的情况) ( 1 ) cookie,localStorage,IndexDB无法读取 (2)DOM无法获取 (3) ajax请求不能发...
浏览器--------------同源越策略浅了解
m0_62907534的博客
03-18 558
文章目录 一、同源策略 二、 1.jsonp 2.cors 一、同源策略 同源策略是一个重要的安全策略,它用于限制一个orign的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 在浏览器中规定两个网页的协议、名、端口都相同,则两个页面具有相同的源。 具体的内容包括: ​ 下表给出了与 URLhttp://store.company.com/dir/page.html的源进行对比的示例: URL ...
同源 解决
weixin_50636581的博客
03-01 126
同源此略Same origin policy 防抖的思想 只执行最后一次请求 利用定时器 在触发请求的时候 清除定时器 然后在开启定时器 相当与重置 最后在一定时间结束在发送请求 执行定时器里面的方法 节流的思想 利用定时器 在定时器中 设置个falg 为false 在定时器外面 falg为true 然后 if(flag)return ...
[Ajax学习笔记-16] XMLHttpRequest 的基本用法 同源 防抖节流的使用
qq_64509600的博客
07-25 985
XMLHttpRequest的概念 XMLHttpRequest的使用 GET请求携带参数 POST请求携带参数 数据交换格式JSON 同源的概念 配置解决方案 防抖 节流
浏览器同源概念
H4ppyD0g的博客
10-16 613
浏览器的同源策略是为了实现不同源的tab页(一个tab就是浏览器中一个标签页)之间相互隔离的一种安全策略。 可以理解为一个源内的脚本只能作用与本源内的资源,无法访问其他源的资源。 同源是指:协议、名、端口都相同。这是一个三元组,源是一个意思。 非同源就是其中任何一个不相同。 非同源的限制,限制主要的目的就是为了用户的上网安全 不能读取 cookie 无法获得dom 不能发送ajax请求 ...
同源策略与
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源&如何解决
gc_charl的博客
04-04 1100
1. 同源策略 如何解决? 同源策略 同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。 不同源的网站,不能访问Cookie、localStorage、indexDB、不能获取DOM、不能发送Ajax请求。(实际上是不允许读取re
Vue开发工具使用技巧
最新发布
2509_93946471的博客
11-24 237
打开DevTools的"Events"标签页,所有组件间传递的事件都会按时间顺序列出来,连事件负载数据都能展开看详情。更绝的是,你还能手动触发事件——比如在父组件里模拟一个事件,直接测试子组件的响应逻辑,省得反复修改代码来调试。如果组件用了作用插槽,可以在"Scoped Slots"子面板里实时查看slot传递的数据内容,比在模板里写调试代码清爽得多。路由调试经常被忽略。热重载调试时,如果发现修改代码后页面没及时更新,可以到DevTools的"Settings"里勾选"Log reloads"选项。
Python全栈开发项目——AI智能聊天机器人
qiao_yue的博客
11-24 579
本项目实现了AI聊天功能,具有语音输入聊天背景自定义等亮点功能
Spring Boot 实战篇(四):实现用户登录与注册功能
2509_94010201的博客
11-23 828
在构建 Web 应用程序时,用户登录与注册功能是常见且重要的部分。以下将详细介绍在 Spring Boot 项目中实现用户登录与注册功能的步骤,并附上相应的代码示例。
Vue3的生命周期
分享学习网络的点点滴滴
11-21 113
Vue3生命周期详解:从创建到卸载的全过程 Vue3的生命周期分为四个主要阶段:创建、更新、卸载错误处理。创建阶段包含setup()、onBeforeMount()onMounted();更新阶段有onBeforeUpdate()onUpdated();卸载阶段包括onBeforeUnmount()onUnmounted()。setup()替代了Vue2的初始化阶段,是组合式API的入口。子组件的生命周期会先于父组件执行。错误处理可使用onErrorCaptured()捕获阻止错误传播。这些钩子函
Vue3响应式原理详解
2509_93942542的博客
11-24 388
当访问响应式对象的某个属性时,get拦截器会被触发,此时会执行track函数来收集当前的依赖(也就是正在运行的副作用函数)。当effect执行时,Vue3会将其设置为当前活跃的副作用函数,这样在访问响应式数据时,get拦截器就能准确知道是哪个effect依赖了这个数据。值得一提的是,Vue3的响应式系统是完全独立的模块,这意味着它可以在任何JavaScript环境中使用,不仅限于Vue框架。另外,Proxy的拦截是浅层的,对于嵌套对象需要递归代理,Vue3通过在get拦截器中自动解包来实现这一功能。
没有
06-01
<think>嗯,用户现在问的是如何处理没有的情况以及如何配置设置。根据之前的对话历史,用户之前的问题是关于点击图片后光标变为图片的实现,其中涉及到了处理。现在用户想更深入地了解相关的问题,特别是当没有时的情况以及具体的配置方法。首先,我需要回顾用户提供的引用内容。引用[1]解释了问题的原因,即同源策略导致前后端分离后的请求被拦截,并提到预检请求CORS配置。引用[2]给出了Nginx配置的例子,引用[3]展示了SpringBoot的三种配置方案。用户现在的问题是如何处理没有的情况,也就是同源的情况,以及如何配置设置。我需要先明确“没有的情况”指的是什么。根据引用[1],当项目未前后端分离时,比如使用JSP、PHP等,前后端代码在同一服务器上,属于同源,不会触发问题。这时候不需要任何配置,请求可以正常进行。所以处理没有的情况,其实就是确保前后端同源,或者项目未分离,自然不存在问题。接下来,用户可能想知道如何配置设置。根据提供的引用,配置方法因服务器不同而不同。比如Nginx的配置,SpringBoot的CORS配置。需要分点说明不同服务器的配置方法,并强调同源的区别。另外,用户可能混淆了“没有”的情况是否需要配置。需要明确说明,同源下无需配置,只有在请求时才需要配置CORS。同时,可能需要解释为什么有时候即使没有配置也能正常工作,即同源的情况。还要注意用户提到的预检请求,当请求方法是GET、POST以外的,或者有自定义头时,浏览器会发送预检请求(OPTIONS),服务器需要正确响应这些请求才能通过CORS。这可能需要在配置中允许OPTIONS方法,设置允许的头部等。 总结回答结构应该包括:1.同源(无)的情况说明2.配置的必要性3.不同服务器(如Nginx、Spring Boot)的具体配置方法4.注意事项,如安全性、允许的方法头信息需要确保引用正确,比如引用[1]说明同源策略,引用[2][3]提供配置示例。同时,用户可能在实际操作中遇到问题,比如配置后仍然出现错误,可能需要检查配置是否正确,是否所有必要的头信息都设置了,比如Access-Control-Allow-Origin、Allow-Methods等。 最后,生成相关问题需要考虑用户可能遇到的后续问题,比如如何测试配置是否生效,或者如何处理复杂场景(如多个名、携带凭证等)。</think>### 问题处理指南 #### 一、无场景的处理 1. **同源场景** - 当项目采用传统架构(如JSP、PHP等未前后端分离的方案)时,前端页面与后端接口**同源**(协议+名+端口完全相同),浏览器不会触发限制[^1] - 示例: ```text 前端地址:http://example.com:8080/index.jsp 后端接口:http://example.com:8080/api/getData ``` - 无需任何配置即可直接通信 2. **开发环境代理** 在本地开发时,通过Webpack/Vite的代理配置隐藏: ```javascript // vite.config.js export default { server: { proxy: { '/api': { target: 'http://localhost:3000', changeOrigin: true } } } } ``` 此时浏览器感知的请求地址仍为当前名[^1] #### 二、配置方法 1. **Nginx配置** ```nginx server { listen 80; server_name example.com; location /api { # 允许 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,Content-Type'; # 处理预检请求 if ($request_method = 'OPTIONS') { add_header 'Access-Control-Max-Age' 1728000; add_header 'Content-Type' 'text/plain; charset=utf-8'; return 204; } proxy_pass http://backend-server; } } ``` > 关键配置项: > - `Access-Control-Allow-Origin`: 允许的源(*表示所有) > - `Access-Control-Allow-Methods`: 允许的HTTP方法 > - `Access-Control-Allow-Headers`: 允许的请求头[^2] 2. **Spring Boot配置** ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://trusted-domain.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); } } ``` > 安全建议: > - 避免使用`allowedOrigins("*")` > - 明确指定`allowedMethods` > - 启用凭证时需指定具体名[^3] #### 三、配置验证流程 1. 检查响应头是否包含CORS相关字段 ```bash curl -I -X OPTIONS http://api.example.com ``` 2. 验证预检请求响应状态码是否为204 3. 使用浏览器开发者工具查看Network面板的请求头响应头 #### 四、特殊场景处理 1. **携带凭证的请求** ```javascript // 前端设置 fetch(url, { credentials: 'include' }); // 后端配置 Access-Control-Allow-Credentials: true Access-Control-Allow-Origin: http://specific-domain.com // 必须明确指定名 ``` 2. **自定义请求头处理** ```nginx add_header 'Access-Control-Allow-Headers' 'X-Custom-Header,Content-Type'; ``` #### 五、安全注意事项 1. 生产环境禁止使用通配符`*`配置 2. 限制允许的HTTP方法范围 3. 设置合理的`Access-Control-Max-Age`缓存时间 4. 对敏感接口启用CSRF保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ـ٨ـﮩﮩ٨ـ千帆ﮩ٨、

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值