跨域:浏览器有同源策略,但是为何 cdn 请求资源的时候不会有跨域限制?

最新推荐文章于 2025-11-23 23:13:13 发布
原创 最新推荐文章于 2025-11-23 23:13:13 发布 · 556 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #CORS #同源策略 #CDN

在这里插入图片描述

提示:跨域:浏览器有同源策略,但是为何 cdn 请求资源的时候不会有跨域限制?

文章目录

浏览器的 同源策略(Same-Origin Policy) 确实会限制跨域请求,但 CDN 资源请求通常不受限制,原因如下:

原因总结

1. CDN 资源的加载方式规避了同源策略

  • <script>、<link>、<img> 等标签默认允许跨域
    浏览器允许以下标签直接加载跨域资源(无需 CORS):
<!-- 这些标签不受同源策略限制 -->
<script src="https://cdn.example.com/jquery.js"></script>
<link href="https://cdn.example.com/style.css" rel="stylesheet">
<img src="https://cdn.example.com/image.png">
  • 原因:这些资源被视为静态文件,不会通过 JavaScript 直接访问内容,因此浏览器默认放行。

例外:如果通过 JavaScript 动态请求这些资源(例如 fetch 或 XMLHttpRequest),则会触发同源策略。

2. CDN 通常会正确设置 CORS 响应头

  • 即使是通过 JavaScript 动态加载的资源(如字体、API 请求),CDN 也会通过 CORS(跨域资源共享) 机制允许跨域访问:
  • CDN 服务器返回的响应头示例:
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, OPTIONS

这样浏览器会允许跨域请求。

3. 为什么同源策略不阻止 CDN 资源?

  • 历史原因:早期的网页需要引用公共库(如 jQuery),如果禁止跨域,每个网站都要自己托管这些文件,效率极低。

  • 安全权衡

     		静态资源(JS/CSS/图片)通常不会直接窃取用户数据。

 		真正的风险来自 通过 JavaScript 读取跨域数据(如 AJAX 请求),所以同源策略主要限制这类行为。

总结

场景是否受同源策略限制原因
通过<script>加载CDNJS❌ 否浏览器默认允许跨域静态资源加载
通过 fetch 请求 CDN 数据✅ 是(除非配置 CORS)需要服务器明确允许跨域(Access-Control-Allow-Origin)
CDN 的 CSS/图片❌ 否静态资源标签天生豁免同源策略
  • 核心逻辑:同源策略主要限制 通过 JavaScript 访问跨域数据,而 CDN 的静态资源加载通过标签或正确 CORS 配置规避了这一限制。
前端白袍
关注
浏览器工作原理与实践--同源策略:为什么XMLHttpRequest不能请求资源
echohuangshihuxue的博客
04-12 1142
要了解什么是同源策略,我们得先来看看什么是同源。如果两个URL的协议、名和端口都相同,我们就称这两个URL同源。比如下面这两个URL,它们具有相同的协议HTTPS、相同的名time.geekbang.org,以及相同的端口443,所以我们就说这两个URL是同源的。category=1category=0浏览器默认两个相同的源之间是可以相互访问资源和操作DOM的。两个不同的源之间若想要相互访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略
浏览器,渲染,页面优化,存储,缓存,同源策略问题
2301_76917110的博客
03-09 246
浏览器,渲染,页面优化,存储,缓存,同源策略问题
前端面试:浏览器同源策略, 但是为何 cdn 请求资源的时候不会限制
m0_67537062的博客
03-13 643
虽然浏览器具有同源策略,但 CDNs 通过配置适当的 CORS 头、将资源设置为公开可访问,并且依赖于浏览器处理静态资源的方式,使得请求能够顺利进行。如果开发者需要更严格的控制,则可以在服务器端进行配置,以满足特定的安全需求。同源策略浏览器的一项安全机制,旨在防止恶意网站访问其他网站的数据。这意味着,只有从相同源(协议、名和端口相同)发出的请求才能访问某些资源。这个请求不会受到限制,因为 CDN 配置了适当的 CORS 头来允许这些资源的公开访问。
前端面试题!!浏览器同源策略,但是为何cdn请求资源的时候不会限制
weixin_56855909的博客
10-09 782
需要注意的是,虽然CDN资源通常可以加载,但并不是所有的资源都可以这样。例如,如果CDN上的资源是敏感的,或者服务器没有正确配置CORS,那么请求仍然会被阻止。此外,虽然资源可以加载,但浏览器仍然会阻止的读写操作,例如通过AJAX请求尝试读取CDN资源的数据。当你从CDN加载一个图片或脚本时,这只是读取操作,没有写入操作,因此不会触发同源策略限制。:某些类型的资源,如图片、CSS和JavaScript文件,通常不包含敏感信息,因此即使它们来自不同的源,浏览器也会加载它们。
浏览器同源策略,但是为何 cdn 请求资源的时候不会限制
菜菜我是谁的博客
02-25 492
浏览器同源策略是一种安全机制,用于限制不同源之间的交互,以防止恶意行为。
同源策略:为什么XMLHttpRequest不能请求资源
知之为知之,不知为不知
10-07 908
什么是同源策略 如果两个 URL 的协议、名和端口都相同,我们就称这两个 URL 同源。比如下面这两个 URL,它们具有相同的协议 HTTPS、相同的名 time.geekbang.org,以及相同的端口 443,所以我们就说这两个 URL 是同源的。 https://time.geekbang.org/?category=1 https://time.geekbang.org/?category=0 浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问
vue引入axios同源问题
10-17
在开发Web应用时,尤其是使用Vue.js这样的前端框架时,我们常常会遇到“同源策略”的限制,导致在不同源之间进行数据交换时出现问题,即所谓的“”问题。Vue引入axios进行HTTP请求时,如果请求的目标URL与当前...
同源策略解决方案.docx
10-26
同源策略浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意...
AJAX请求详解:突破浏览器限制,实现数据交互
[AJAX请求详解:突破浏览器限制,实现数据交互](https://img-blog.csdnimg.cn/72f25bc0dc424aba86b74f685e006587.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAc21...
浏览器同源策略解决方案
weixin_30383279的博客
01-10 130
同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)和名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 http://a.xyz.com/dir/inner/anot...
同源策略问题
黎小小的博客
10-14 615
浏览器同源策略影响,同源策略是一种安全机制,它限制了一个网页中的脚本只能访问同源的资源源网络访问的三种方式:写操作,资源嵌入,读操作。
前端面试题-什么是浏览器同源策略
m0_62300955的博客
08-16 550
举个例子,如果没有同源策略,恶意网站 malicious-site.com 可能会在其页面中嵌入脚本,尝试读取用户正在访问的银行网站 bank-site.com 的页面内容,获取用户的账户信息、交易记录等敏感数据,这将给用户带来极大的安全风险。一些 CDN 资源不受同源策略限制,是因为同源策略主要是浏览器的一种安全机制,用于限制不同源的文档或脚本之间的交互操作,但对于某些特定类型的资源访问,浏览器会有一些例外情况。一般情况下,<img> 元素的 src 属性指向的资源是可以进行访问的。
javascript学习——同源限制
白话机器学习
10-06 1454
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”。协议相同名相同端口相同(这点可以忽略,详见下文)举例来说,这个网址,协议是http://,名是,端口是80(默认端口可以省略),它的同源情况如下。:同源:不同源(名不同):不同源(名不同):不同源(端口不同):不同源(协议不同)
同源策略的解决方案
失眠时间的博客
05-12 3643
总所周知,同源策略是导致的原因,那么什么是同源策略,又可以如何解决的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
cdn 导致问题
xxx的博客
11-22 6527
cdn ,但是导致了问题 问题,修改 nginx  配置  解决了 总之一句话: abc.www.com 这个就是request.getServeName proxy_set_header Host abc.www.com
MySQLGraphQLAPI
2509_93945719的博客
11-22 316
另外,权限控制也得注意,GraphQL默认不限制查询,如果公开暴露,可能被恶意请求拖垮服务器。首先,你得安装必要的包,比如、,还有MySQL的连接器,比如。还有,如果数据库表结构复杂,有联表查询,GraphQL的schema也得相应设计成嵌套类型,resolver里用JOIN语句处理。这里,类型对应MySQL表的字段,定义了可用的查询操作,比如获取所有用户或根据ID查单个用户。注意,GraphQL的字段名可以用camelCase风格,和MySQL的snake_case不一样,这点在映射时要处理好。
Rust高性能Web后端服务开发与Actix-Web实战分享:零成本抽象、高并发处理与内存安全实践
最新发布
2501_94181083的博客
11-23 593
数据序列化使用bincode替代 JSON:节省 30% CPU对热点代码进行#[inline]展开Netty 式 Reactor 模型减少线程调度开销批量 DB 提交减少 IO 压力缓存热点业务路径到 Redis最终整个平台达成:单机 QPS:18 万P99 延迟 < 30msCPU 占用在可控范围内资源释放完全可预期,无内存泄漏风险高性能,无 GC 停顿编译期保证内存安全,避免线上事故Actix-Web 性能强劲,适合高并发系统适合对性能和稳定性要求极高的互联网生产环境。
释什么是Ajax同源策略?同源有哪三个条件?
07-01
### 同源策略与 Ajax 在 Web 开发中,同源策略(Same-Origin Policy)是浏览器的一项核心安全机制。其主要目的是防止恶意网站通过脚本访问其他网站的敏感资源,从而保护用户的数据安全[^1]。 #### 同源策略的基本概念 同源策略规定,只有当两个 URL 的协议(protocol)、名(domain)和端口(port)完全相同时,才被认为是同源的。如果这三个要素中的任何一个不同,则这两个 URL 被视为不同源,浏览器将阻止客户端脚本对这些资源的访问。这种限制通常适用于通过 `XMLHttpRequest` 或 `fetch` API 发起的请求,即常见的 Ajax 请求[^1]。 #### 同源判定的三个条件 判断两个 URL 是否同源,需要满足以下三个条件: 1. **协议相同**:例如 `http://` 和 `https://` 是不同的协议,因此它们不被视为同源。 2. **名相同**:例如 `example.com` 和 `sub.example.com` 是不同的名,因此它们不被视为同源。 3. **端口相同**:例如 `:80` 和 `:8080` 是不同的端口号,因此它们不被视为同源。 #### 同源策略对 Ajax 的影响 Ajax 请求通常使用 `XMLHttpRequest` 或 `fetch` API 来发起 HTTP 请求并获取数据。由于同源策略限制,Ajax 请求无法直接访问不同源的资源。例如,如果一个网页运行在 `http://example.com` 上,它不能通过 Ajax 请求访问 `http://anotherdomain.com` 上的数据,除非目标服务器明确允许请求。 然而,某些 HTML 标签(如 `<script>`、`<img>` 和 `<iframe>`)的 `src` 属性可以加载资源,但 JavaScript 无法直接读取或操作这些资源的内容。这种设计允许网页引用外部资源(如 CDN 提供的 JavaScript 文件),同时避免了潜在的安全风险[^2]。 #### 解决问题的方案 为了绕过同源策略限制,开发者可以采用多种技术来实现请求: - **JSONP (JSON with Padding)**:利用 `<script>` 标签的能力,通过回调函数传递 JSON 数据。 - **CORS (Cross-Origin Resource Sharing)**:通过服务器设置响应头(如 `Access-Control-Allow-Origin`),允许特定来源的请求。 - **反向代理**:通过服务器端代理请求目标资源,再将结果返回给客户端,从而避免直接的问题[^5]。 #### 示例代码 以下是一个简单的 Ajax 请求示例,展示了如何使用 `fetch` API 发起 GET 请求: ```javascript fetch('https://api.example.com/data') .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error('Error:', error)); ``` 在这个示例中,如果 `https://api.example.com` 与当前网页的协议、名或端口不同,则该请求将受到同源策略限制,除非服务器明确允许请求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值