180427 同源策略,跨域问题

最新推荐文章于 2024-09-20 21:34:47 发布
原创 最新推荐文章于 2024-09-20 21:34:47 发布 · 213 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了浏览器的同源策略概念及其背后的原理,并探讨了多种跨域解决方案,包括降域、JSONP及CORS等,帮助开发者理解并解决实际开发中的跨域问题。

u1.什么是源?

源(origin)就是协议、域名和端口号。
以上url中的源就是:http://www.company.com:80
若地址里面的协议、域名和端口号均相同则属于同源。

2.什么是同源策略?

浏览器的同源策略
同源策略是 浏览器 的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。
服务器代理中转:代理中转服务器与第三方服务器进行,避开同源策略。

不受同源策略限制的:
1、页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
2、跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>等。因为返回的数据不是合法的JS语句。

3.什么是跨域

受前面所讲的浏览器同源策略的影响,不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象时就需要跨域。

4.跨域的实现形式

降域 document.domain

同源策略认为域和子域属于不同的域,如:
child1.a.com 与 a.com,
child1.a.com 与 child2.a.com,
xxx.child1.a.com 与 child1.a.com
两两不同源,可以通过设置 document.domain=’a.com’,浏览器就会认为它们都是同一个源。想要实现以上任意两个页面之间的通信,两个页面必须都设置document.domain=’a.com’。
此方式的特点:
1. 只能在父域名与子域名之间使用,且将 xxx.child1.a.com域名设置为a.com后,不能再设置成child1.a.com。
2. 存在安全性问题,当一个站点被攻击后,另一个站点会引起安全漏洞。
3. 这种方法只适用于 Cookie 和 iframe 窗口。

• JSONP跨域

Jsonp(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。

JSONP的原理:(举例:a.com/jsonp.html想得到b.com/main.js中的数据)在a.com的jsonp.html里创建一个回调函数xxx,动态添加<script>元素,向服务器发送请求,请求地址后面加上查询字符串,通过callback参数指定回调函数的名字。请求地址为http://b.com/main.js?callback=xxx。在main.js中调用这个回调函数xxx,并且以JSON数据形式作为参数传递,完成回调。我们来看看代码:

function addScriptTag(src) {var script = document.createElement('script'); 
•    script.setAttribute("type","text/javascript"); 
•    script.src = src; 
•    document.body.appendChild(script);
•    }
•    window.onload = function () { 
•    addScriptTag('http://b.com/main.js?callback=foo');
•    } //window.onload是为了让页面加载完成后再执行function foo(data) { 
•    console.log(data.name+"欢迎您");
•    };
};

//b.com/main.js中的代码foo({name:"hl"})
这样便实现了跨域的参数传递。

采用jsonp跨域也存在问题:

  • 使用这种方法,只要是个网站都可以拿到b.com里的数据,存在安全性问题。需要网站双方商议基础token的身份验证,这里不详述。
  • 只能是GET,不能POST。
  • 可能被注入恶意代码,篡改页面内容,可以采用字符串过滤来规避此问题。
  • CORS

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
刚才的例子中,在b.com里面添加响应头声明允许a.com的访问,代码:
Access-Control-Allow-Origin: http://a.com
然后a.com就可以用ajax获取b.com里的数据了。
注意:此方法IE8以下完全不支持,IE8-10部分支持。

其它方法

  1. HTML5的postMessage方法
  2. window.name
  3. location.hash
同源策略
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
精选资源
JavaScript同源策略访问实例详解
01-19
本文实例讲述了JavaScript同源策略访问。分享给大家供大家参考,具体如下: 1. 什么是同源策略 理解首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 何谓同源: URL由...
浏览器的同源策略解决方案
weixin_30383279的博客
01-10 132
同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)和名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 http://a.xyz.com/dir/inner/anot...
【浏览器】同源策略问题
小秀的博客
11-01 1517
实际工作场合并不会用。JSONP 是⼀种请求数据的⽅式,它利⽤了<script>标签不受同源策略限制的特性,可以从不同的名请求数据。实现原理是在服务端⽣成⼀个 JavaScript 函数,客户端使⽤<script>标签请求该函数,服务端返回该函数的调⽤,并将需要传输的数据作为函数参数传⼊。所以jsonp解决的问题具有很明显的不⾜,它只能实现get⽅法的请求。对于post put delete 等其它请求⽆法实现。// 前端// 后端 这⾥⽤ express 来模拟})})
同源策略
小王的博客
09-02 1069
同源策略
Ajax同源策略问题
weixin_56498069的博客
08-08 1760
Ajax原理及解决方法
浏览器同源策略
最新发布
qq_64039411的博客
09-20 911
​ 这个getdata.js这个文件是放到我们计算机本地的,假如这个文件并没有在我们自己的电脑上,而是在一台服务器上放着,要调用什么函数是不知道的,到底调用的是success还是abc方法我们不清楚,没有这个函数肯定就会调用失败。因此,JSONP的实现原理,就是通过标签的src属性,请求的数据接口,并通过函数调用的形式,接收接口响应回来的数据。通俗的理解: 浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C之间,进行资源的交互。
同源策略以及的三种解决方案详解
Harley567
08-25 1938
1.服务器代理; 2.cors资源共享; 3.JSONP
同源策略
weixin_52065872的博客
07-16 1582
什么是同源策略、什么是、如何实现请求、JSONP的实现原理
同源策略&
m0_67841039的博客
04-21 3032
了解同源策略& 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是 同源指的是两个 URL 的协议
深入浅析同源策略访问
11-22
4. iframe与postMessage:尽管iframe加载的内容受限于同源策略,但使用`window.postMessage`方法可以在不同源的iframe之间传递消息,实现一定程度的通信。 5. 代理服务器:通过在服务器端设置代理,将请求...
vue引入axios同源问题
10-17
在开发Web应用时,尤其是使用Vue.js这样的前端框架时,我们常常会遇到“同源策略”的限制,导致在不同源之间进行数据交换时出现问题,即所谓的“问题。Vue引入axios进行HTTP请求时,如果请求的目标URL与当前...
180326 数组
simpleone_的博客
03-25 463
概述 数组是值的有序集合,其中值称作‘元素’,对应位置称作‘索引’ 数组继承Array.prototype中的属性 数组是对象的特殊形式,数组索引实际上和碰巧是整数的属性名差不多 创建数组 数组直接量 var arr = [1,2,'a']; var arr1 = [[1,{x:1,y:2}],[2,{x:3,y:4}]]; // 可以包含对象直接量或其他数组直接量。 ...
[other]电脑知识
simpleone_的博客
12-17 314
积累
180328 正则表达式
simpleone_的博客
03-28 290
什么是正则表达式 检索文本时,可以对字符串内容进行模式匹配。RegExp 就是这种模式。用RegExp对象表示正则表达式。 创建正则表达式 直接量定义 /pattern/attributes var regExp = /abc/; //可以添加修饰符,可以同时使用 /abc/g 全局匹配,查找所有匹配 /abc/i 大小写不敏感 /abc/m 执行多行匹配 ...
180330 预编译
simpleone_的博客
03-30 290
JS编译过程 语法分析:JS引擎通篇扫描,有低级错误直接报错不执行。 预编译 解释执行 执行期上下文 当函数执行时,会创建一个称为执行期上下文的内部对象。一个执行期上下文定义了一个函数执行时的环境,函数每次执行时对应的执行上下文都是独一无二的,所以多次调用一个函数会导致创建多个执行上下文,当函数执行完毕,执行上下文被销毁。 预编译 window是全局对象,在全局范围声明一个变...
《JavaScript DOM 编程艺术(第二版)》笔记
simpleone_的博客
04-14 289
第3章 DOM 即使在整个文档里这个标签只有一个元素,getElementsByTagName也返回一个数组。此时的数组长度是1。 HTML5 DOM 新增 getElementsByClassName 在使用类名获取标签匹配时,如果有多个类名,类名顺序和带有更多类名都可以匹配。 检查某项数据是否是null时,我们其实是在检查它是否存在。 通过setAttribute对文档做出修改后,在通过...
180731 知识点复习
simpleone_的博客
08-01 256
1、计时器 window对象的方法:JS中重要的全局函数。 setTimeout (code执行代码, millisec延迟毫秒数) — 函数在指定的毫秒数后执行。 clearTimeout (timeoutID) setInterval() 函数在指定的毫秒数间隔里重复调用。 clearInterval() tips:即使setTImeout()传入0毫秒,函数也不会立刻执行,会进...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值