script 标签中 crossorigin 属性说明

原创 已于 2024-07-06 17:45:53 修改 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript

于 2023-09-28 11:43:51 首次发布
文章详细解释了script标签的crossorigin属性在处理跨域脚本时的作用,涉及错误处理、cookie发送、资源完整性验证等方面。重点讨论了anonymous和use-credentials模式,以及为何设置了crossorigin后能暴露更多错误信息。
GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

1. 背景知识:script 标签有哪些属性

  1. src : 脚本来源地址

  2. type: 表示所代表的脚本类型,有如下取值:

    • 未设置(默认)/一个空字符串/一个 JavaScript MIME 类型:普通脚本/传统脚本
    • module:模块脚本
    • importmap:代表元素体内包含导入映射(importmap)表
    • 任何其他值:所嵌入的内容被视为一个数据块,不会被浏览器处理

  3. integrity:包含用户代理可用于验证所获取到资源的完整性的内联元数据

  4. crossorigin:见下文详解

  5. 其他属性,比如async defer等,与本文关系不大,详见MDN

2. crossorigin 属性的作用

1. 【html 标准】文档中的解释

对于普通脚本,它控制是否公开错误信息。对于模块脚本,它控制用于跨域请求的凭据模式。(原文见此

2. 个人总结

默认情况下,可以从任意位置加载 js 。

如果配置了该属性,会让浏览器启用CORS检查(判断响应头中Access-Control-Allow-Origin是否与当前文档同源),如果检查不通过,则浏览器拒绝执行代码。

什么情况下要启用检查?

  1. 需要捕获跨域脚本中的错误信息
  2. type="module" 并且需要发送凭据

只验证了 cookie,其他认证信息不知道怎么测试

  1. 需要校验跨域脚本的完整性(配置了integrity的时候)
  2. 文档中的脚本(并不单单指跨域脚本)需要使用 跨域隔离的 API(比如SharedArrayBuffer,原因见此

3. 不设置 crossorigin 属性时的表现

  1. 如果没有设置type="module":获取资源时,是否带上 cookie,取决于 cookie 的同站策略(比同源策略更广泛,跨域时也可能同站

不跨站就会发 cookie;跨站的话,只有满足SameSite=None; Secure=true 的 cookie 才会发送

  1. 如果设置了type="module",则一定不发送 cookie

  2. 收到响应后,浏览器会正常执行脚本代码

  3. 全局错误捕获方面

    • 页面同源的脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

    • 跨域脚本出错:

      • promise 异常:无法捕获❌
      • 其他普通异常:只能捕获到Script error.的错误,没有详细信息

4. 设置了 crossorigin 属性时的表现

crossorigin 有 2 个值:use-credentialsanonymous

只有指定use-credentials时才表现为use-credentials,其他任何不合法的值都视为 anonymous

1. anonymous

  1. 不管有没有设置type="module",获取资源时,都不会发送 cookie

  2. 收到响应后,只有满足 响应头中Access-Control-Allow-Origin === 请求头中的origin字段,浏览器才会执行脚本代码,否则会抛出 CORS 异常

  3. 如果设置了integrity,就还会再校验一次资源完整性,不满足也会报错

  4. 全局错误捕获方面

    • 页面同源的脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

    • 跨域脚本出错:

      • promise 异常:可以捕获✅
      • 其他普通异常:可以捕获✅

2. use-credentials

  1. 不管有没有设置type="module",发送请求时是否带上 cookie,都取决于 cookie 的同站策略

  2. 收到响应后,响应头中需要同时满足以下条件,浏览器才会执行脚本代码,否则会抛出 CORS 异常:

    1. Access-Control-Allow-Origin === 请求头中的origin字段
    2. Access-Control-Allow-Credentials为 true

  3. 如果设置了integrity,就还会再校验一次资源完整性,不满足也会报错

  4. 错误捕获方面,与anonymous相同

5. 深入错误捕获

1. 网络解释

原文见此

2.【html 标准】文档中的说明

1. 普通异常为什么会抛出Script error.

html 标准文档 中有这样一句话:

如果该脚本属于classic scriptmuted errors为 true,则普通异常就会抛出Script error.

  1. 什么是classic script

就是指普通脚本。

省略type属性,或将其设置为空字符串,或将其设置为JavaScript 的MIME类型,意味着该脚本是classic script原文见此

  1. muted errors什么情况下会为 true?

跨域脚本就为 true,后面附带了一句极为简单的解释:“会泄漏私有信息”。(原文见此

  1. 为什么设置了crossorigin就可以暴露错误详情?

以下为个人理解,没有找到原文。

因为设置了之后,浏览器会校验响应头(Access-Control-Allow-Origin),发现服务器是允许页面内访问该脚本资源的,于是允许暴露错误信息。

2. 全局 Promise 异常为什么无法捕获?

  1. 全局 Promise 异常是HostPromiseRejectionTracker进行处理的(见下图标注序号 1 处,原文见此

  1. HostPromiseRejectionTracker内部,判断如果是classic script,则直接 return (原文见此

(个人理解同源的情况下应该走到第 5 小点中,就可以正常捕获)

  1. 回到 1 中截图标识 2 的位置,提到:

If a rejection is still not handled after this, then the rejection may be reported to a developer console.

由于HostPromiseRejectionTracker方法未进行任何处理,没有被全局监听所捕获,于是就在控制台抛出了异常。

3. 源码分析:跨域脚本抛出的普通异常为什么没有详细堆栈

1. v8 源码

首先,在 v8 源码中,script脚本默认就是跨域的。注释提到会在“主线程合并期间修复”(未研究对应代码)

上图中的注释下面调用了ScriptOriginOptions方法进行初始化script,其第一个参数就是表示是否为跨域脚本,传入的值是 false

而异常信息的IsSharedCrossOrigin()方法就是直接调用scriptIsSharedCrossOrigin()方法

因此,可以知道, 异常信息的IsSharedCrossOrigin()方法会默认返回 false.

2. chromium 源码

在chromium源码中,如果异常信息的IsSharedCrossOrigin()方法返回 false,会将sanitize_script_errors设为SanitizeScriptErrors::kSanitize

之后,判断到满足sanitize_script_errors == SanitizeScriptErrors::kSanitize,则调用CreateSanitizedError方法

就是这个方法里,会抛出Script error,并且没有给出堆栈信息。

以上可以解释普通异常为什么没有堆栈,至于 Promise 异常为什么不能捕获,还没有看懂。并且限于水平,未能调试该源码,不太好说这些没有错漏之处,颇为遗憾……

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

kill370354
关注
Django学习第五天:Script标签的integrity、crossorigin属性详解
百锦再的博客
12-09 1万+
integrity:确保加载的外部脚本文件未被篡改,通过提供一个哈希值与文件内容对比来保证其完整性。:控制如何处理跨域请求,尤其是是否包含凭证,常用于加载外部脚本时的安全设置。这两个属性一起使用,可以大幅提高 Web 应用的安全性,尤其是在使用第三方 CDN 或外部资源时。设置语言环境:通过和LANGUAGES配置默认语言和可用语言。启用:自动切换语言。翻译 Django Admin:使用和创建和编译翻译文件。手动切换语言:使用视图或 URL 参数切换语言。
动态加载script标签添加不上跨域“crossorigin属性
一枚不断学习的小码农一枚~
08-06 1672
场景 使用javascript动态加载异步脚本,发现其他的诸如"type""id"等属性均可,但关于跨域属性crossorigin var head = document.getElementsByTagName('head')[0]; var script = document.createElement('script'); script.type = 'text/javascript'; script.charset = 'utf-8'; script.crossorigin = 'anonymous
@CrossOrigin注解的使用指南
LSW1737554365的博客
11-03 3211
CrossOrigin注解是Spring框架提供的一种注解,用于配置CORS策略。通过在控制器类或方法上添加@CrossOrigin注解,我们可以指定哪些来源可以访问该类或方法,从而实现对CORS的简化配置。@CrossOrigin注解支持多种配置选项,例如允许特定来源、允许所有来源、指定请求头和响应头等。
@CrossOrigin注解解决跨域问题
西敏寺的乐章的博客
04-14 1682
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非跨域)http://123.com/index.html 调用http://456.com/server.php (主域名不同:123/456,跨域)
crossorigin引发的问题追踪
EmotionComputer
08-31 288
crossorigin
script标签中的crossorigin属性详解
宋坚强大大~~
07-02 1万+
前端监控逐渐完善的今天,页面中错误日志的上报可以说对我们的日常工作带来了极大的帮助。 而使用window.onerror事件来捕获 js脚本中的错误信息是 重要的手段 。 但是对于跨域的资源 ,onerror事件通常会上报 "Script error" 由于这并不是JavaScript的 bug,所以浏览器出于安全考虑,会主动隐藏其他域下js抛出的具体错误信息,但是onerror事件可不管 你这么多,就是直接上报 ,在不做过滤的情况下,你会在 监控平台中看到特别的"Script error"错误日志
script标签crossorigin属性
weixin_30920513的博客
06-23 455
  通常我们使用window.onerror来捕获js脚本的错误信息。   但是对于跨域调用的js脚本,onerror事件只会给出很少的报错信息:error: Script error.   这个简单的信息很明显不足以看出脚本的具体错误,所以我们可以使用crossorigin属性,使得加载的跨域脚本可以得出跟同域脚本同样的报错信息:   <script crossorigin src...
scriptcrossorigin 详解
06-02
需要注意的是,如果 `crossorigin` 属性设置为 `use-credentials`,那么服务器需要在响应头中设置 `Access-Control-Allow-Credentials` 字段为 `true`,否则浏览器会拒绝访问该文件。此外,如果服务器返回的响应头中...
,html5的video元素中,crossorigin属性作用是?
06-18
### HTML5 中 `video` 元素 `crossorigin` 属性的作用及使用场景 #### 1. `crossorigin` 属性的基本作用 `crossorigin` 属性用于指定浏览器如何处理跨域资源请求,以及是否需要携带资源凭证。这一属性不仅适用于 `...
img标签的跨域属性crossOrigin未生效怎么配置
03-15
同时,crossOrigin属性应该添加到img标签中,如<img crossOrigin="anonymous" src="...">。但有时候用户可能在动态创建img元素时,先设置src再设置crossOrigin,这会导致问题,因为浏览器可能在设置src时立即发起...
script标签中的crossorigin属性
文摘资讯
11-23 1748
前端监控逐渐完善的今天,页面中错误日志的上报可以说对我们的日常工作带来了极大的帮助。而使用 window.onerror 事件来捕获 js 脚本中的错误信息是重要的手段 。但是对于跨域的...
<script> 属性crossorigin
weixin_30244681的博客
12-20 344
今日偶然见到如下代码: <script src="https://cdnjs.cloudflare.com/ajax/libs/popper.js/1.11.0/umd/popper.min.js" integrity="sha384-b/U6ypiBEHpOf/4+1nzFpr53nxSS+GLCkfwBdFNTxtclqqenISfwAzpKaMNFNmj4" crossori...
html里面的crossorigin属性,如何理解script标签crossorigin属性
weixin_34534456的博客
06-04 881
本博客不欢迎:各种镜像采集行为,请尊重知识产权法律法规。大家都是程序员,不要闹得不开心。在编写react入门教程的时候,大家可以发现一个新的属性crossorigin出现在了script标签里面,那么如何理解crossorigin属性呢?请听苏南大叔给出的解释。如何理解script标签crossorigin属性?(图8-1)本文测试环境:chrome@88.0.4324.96。基本结论苏南大叔...
H5-------------- script 标签crossorigin 属性有何作用
热门推荐
江木
01-31 2万+
先来看下使用: src="https://code.jquery.com/jquery-3.2.1.slim.min.js"     integrity="shdsfaafa/342/42342/werfadf/GpGFF93hXpG5KkN"     crossorigin="anonymous"> 看起来比以前的写法复杂好多-----------多了一个 int
scriptcrossorigin=“anonymous“是什么意思
最新发布
2401_89806660的博客
07-12 1186
是 HTML 中<script><link><img>等标签的一个属性,用于,主要影响浏览器如何处理跨域请求以及是否发送用户凭证(如 Cookie、HTTP 认证信息)。这个属性在处理跨域资源时非常重要,尤其是在涉及错误捕获、CORS(跨域资源共享)和资源加载安全的场景中。通过设置属性,可以改变这些行为,让浏览器以更安全、可控的方式处理跨域资源。
HTML5 <script标签里的 crossorigin 属性到底有什么用?
thlzjfefe的博客
05-30 987
最近Bootstrap 4已经正式发布了,可能已经有爱尝鲜的小伙伴在 alpha 阶段就尝试过 BS4。不过今天要说的不是 BS4,而是官网里引入 BS4 框架依赖的 jQuery 的代码: <script src="https://code.jquery.com/jquery-3.2.1.slim.min.js" integrity="sha384-KJ3o2DKtIkvYIK3UENzmM7KCkRr/rE9/Qpg6aAZGJwFDMVNA/GpGFF93hXpG5KkN" ..
跨域 CrossOrigin
lovingtouch的专栏
08-17 9566
@Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registr
html里面的crossorigin属性
wdhxs的博客
11-25 3494
html里面的crossorigin属性 文章目录html里面的crossorigin属性前言一、scriptcrossorigin属性作用二、img、link中crossorigin 属性作用 前言 html中拥有crossorigin属性的元素有:script,link,img。都是用于CORS请求。 一、scriptcrossorigin属性作用 当引入跨域的脚本(比如用了 apis.google.com 上的库文件)时,如果这个脚本有错误,因为浏览器的限制(根本原因是协议的规定),是拿不到错
学习记录 crossorigin
Roger的博客
08-05 639
阅读react栗子的时候,看到引入的script标签中有crossorigin属性,:O script标签什么时候也有跨域问题了?!!赶紧去查MDN MDN的对于上边属性的地址 大致意思就是除了script可以加这个属性,img video也都可以加。 img video这种资源文件加这个跨域属性我明白,script加上是干嘛的?! 简单的解释在这里: rossorigin No...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值