异域||跨域(二)

最新推荐文章于 2021-06-15 09:52:38 发布
原创 最新推荐文章于 2021-06-15 09:52:38 发布 · 283 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#跨域

本文详细阐述了跨源网络访问中的同源策略,包括跨域写操作、资源嵌入及读操作的限制与实现技巧。同时,介绍了如何通过CORS机制允许跨源访问,并探讨了阻止跨域访问的具体方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

                                           跨源网络访问

同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest 受到同源策略的约束。这些交互通常分为三类:

  • 通常允许跨域写操作(Cross-origin writes)。例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加 preflight
  • 通常允许跨域资源嵌入(Cross-origin embedding)。之后下面会举例说明。
  • 通常不允许跨域读操作(Cross-origin reads)。但常可以通过内嵌资源来巧妙的进行读取访问。例如可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法

以下是可能嵌入跨源的资源的一些示例:

<script src="..."></script> 标签嵌入跨域脚本。语法错误信息只能在同源脚本中捕捉到。

<link rel="stylesheet" href="..."> 标签嵌入CSS。由于CSS的语法规则松散,CSS的跨域需要一个设置正确的Content-Type 消息头。

<img>嵌入图片。支持的图片格式包括PNG,JPEG,GIF,BMP,SVG,...

<video>和<audio>嵌入多媒体资源。

<object>, <embed> 和 <applet> 的插件。

@font-face 引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。

frame和irame 载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。

                                                                          使用CORS允许跨源访问

                                        阻止跨域访问的操作

  • 阻止跨域写操作,只要检测请求中的一个不可测的标记(CSRF token)即可,这个标记被称为Cross-Site Request Forgery (CSRF) 标记。必须使用这个标记来阻止页面的跨站读操作。
  • 阻止资源的跨站读取,需要保证该资源是不可嵌入的。阻止嵌入行为是必须的,因为嵌入资源通常向其暴露信息。
  • 阻止跨站嵌入,需要确保你的资源不能是以上列出的可嵌入资源格式。多数情况下浏览器都不会遵守 Content-Type 消息头。例如,如果您在HTML文档中指定 <script> 标记,则浏览器将尝试将HTML解析为JavaScript。 当您的资源不是您网站的入口点时,您还可以使用CSRF令牌来防止嵌入。

 

解析网址
whitek的博客
08-13 4015
def decorator(fun): print("装饰器第一层") def inner_decorator(*args,sex=10,**kwargs): print(sex,args,kwargs) for i in args: i=i.split('?') print(i) .
使用jsonp调用百度js实现搜索框智能提示,并实现鼠标和键盘对弹出框里候选词的操作【附源码】...
weixin_34389926的博客
07-31 186
项目中常常用到搜索,特别是导航类的网站。自己做关键字搜索不太现实,直接调用百度的是最好的选择。使用jquery.ajax的jsonp方法可以异域调用到百度的js并拿到返回值,当然$.getScript也可以实现调用js。 jsonp快速入门:【原创】说说JSON和JSONP,也许你会豁然开朗,含jQuery用例关于jquery.ajax的jsonp方法是用以及其error回调函数不能正确执行...
异域||(一)同源策略
你若成风,我则化雨
08-03 845
*****同源策略***** 如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。 我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“tuple". ("tuple" ,“元”,是指一些事物组合在一起形成一个整...
转载:AJAX异域访问
步行者的专栏
06-06 2226
AJAX - Introducing Cross-domain Request (XDR) With Cross-domain Request ("XDR") in Windows Internet Explorer 8, developers can create cross-site data aggregation scenarios. Similar to the XMLHttpRequ
Java Ajax jsonp 请求
weixin_34355715的博客
08-08 156
2019独角兽企业重金招聘Python工程师标准>>> ...
XMLHttpRequest访问异域webservice
wangyezidong的专栏
03-02 757
在服务器webconfig中加入 system.web>   ....... webServices>       protocols>         add name="HttpGet"/>         add name="HttpPost"/>       protocols>     webServices>  system.web>
利用jsonp调用百度js实现搜索框智能提示
11-25
【JSONP调用与百度搜索框智能提示】 在Web开发中,由于浏览器的同源策略限制,JavaScript无法直接发起请求。为了解决这个问题,JSONP(JSON with Padding)应运而生。JSONP是一种绕过同源策略的技术,通过...
HTML5中使用postMessage实现Ajax请求的方法
09-28
2. 需要两个异域的服务器环境来进行测试,也可以通过本地服务器与在线服务器进行测试。 3. 如果使用PhoneGap开发移动应用,可以将请求文件安装在客户端,并动态请求服务器数据。 postMessage的基本用法包括两个参数...
javascript实现的方法汇总
10-24
问题是指由于浏览器的同源策略限制,一个下的网页(、协议、端口都相同)的JavaScript代码不能访问另一个下的资源。这个策略对于安全是非常重要的,但有时候我们又需要从其他请求数据,这个时候就需要...
js实现的方法实例详解
10-24
、利用script标签实现JSONP请求 script标签的src属性可以获取不同源下的资源,不受同源策略限制。因此,我们可以利用这一点来进行数据请求。具体做法是创建一个script元素,将其src属性指向远程服务端的...
解决方案-外hadoop客户端访问hadoop平台和异域hadoop平台间访问
weixin_41350766的博客
07-19 5009
hdfs客户端 https://blog.youkuaiyun.com/dominic_tiger/article/details/71773656 配置客户端用hostname方式访问集群 &amp;amp;amp;amp;amp;amp;lt;property&amp;amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;amp;lt;name&amp;amp;amp;amp;amp;amp;gt;dfs.client.u
vue 代理
新芽
06-28 1353
同源策略 当进行ajax请求时,请求的页面与服务器地址必须同源 协议一致(http) 端口号一致(如:8080) 名一致(xxx.com)名一致(www.) 绕过浏览器的同源策略请求到数据 常用的方法 jsonp: <script>标签没有同源策略 服务器响应头信息允许Access-Control-Allow-Origin:* 本地服务器代理proxy 本地服务器代理proxy 服务器请求是没有同源限制的 请求本地服务器地址—>本地服务器—&gt
详解
白天不懂夜的黑
01-22 580
同源策略 协议 名 端口 都一样就是同源 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要机制 源网络访问 同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest或标签时则会收到同源策略的约束。这些交互通常分为三类: 1.通常允许写操作(Cross-origin writes)。例如链接(Links),重定向以...
用异步方式解析
亲密数
06-14 1189
C# NetWork Programming里面一个例子,通过异步的方式解析名。主要是应用Dns类的BeginResolve(),和EndResolve()方法。此例子有一个问题就是当碰到解析不出来的名时,不会调用AsyncCallback指定的函数。我加了几句代码,设定2秒钟超时时间,超时的话,显示超时。现在的问题是,超时后并没有结束名的解析。超过2秒钟解析出的名还会显示到listBox
几个国外解析网站
热门推荐
BaiShi 在路上
02-13 2万+
来源:Genthelvite‘Blog 可以获得静态/动态真实ip,好处就不多说了,免得惹麻烦 http://www.subnetonline.com/cgi-bin/webtools/nslookup.pl http://www.channel1.com/cgi-bin/nslookup.cgi http://centralops.net/co/NsLookup.vbs.asp
Ajax异域访问(访问本地资源)-status状态码为0
TianXinCoord的博客
03-22 1万+
问题描述:    今天写了一个ajax请求本地资源的时候发现无法访问并且提示-main.html:21 XMLHttpRequest cannot load file:///F:/JavaWeb/html/content.html. Cross origin requests are only supported for protocol schemes: http, data, chrome, ...
异步访问的几种方式
小蔡的专栏
01-09 2982
废话不说,直接进入主题吧:第一种:代理具体做法是在本地服务器建立一个代理脚本(如PHP),这个脚本可以将接收到的数据(GET或者POST)通过CURL(或者还有其他的方式)发送到目的服务器。第种:隐藏框架现在通常使用的是iframe。第三种:动态IMG标签这种方法简单,适合那种只是需要往服务器端发送信息的场合(如PV统计,点击统计等)var t
Cors():深入理解请求概念及其根因
架构师:通透,才能写出好代码!
06-15 4474
超详细一万多字,Cors资源共享彻底扫盲
jQuery AJAX处理三大方案详解
而在服务器端,异域服务器上的处理如下: ```javascript exports.showAll = function(req, res) { res.setHeader("Access-Control-Allow-Origin", "*"); // 允许所有来源访问 var db = require("./database"); //...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值