本文深入解析了跨域问题的本质,即浏览器的同源策略限制,解释了不同域间请求资源为何被视为跨域,并探讨了跨域能否发送AJAX请求及哪些内容受到同源策略的限制。
跨域,由浏览器的同源策略造成的,是浏览器施加的安全限制。所谓同源是指,域名,协议,端口均相同。
同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。它的存在可以保护用户隐私信息,防止身份伪造等(读取Cookie)。
当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。
即浏览器不能执行其他网站的脚本。
跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。
特别说明两点:
第一:如果是协议和端口造成的跨域问题“前台”是无能为力的。
第二:在跨域问题上,域仅仅是通过“URL的首部”来识别而不会根据域名对应的IP地址是否相同来判断。“URL的首部”可以理解为“协议, 域名和端口必须匹配”。
同源策略限制内容有:
1、DOM 节点
2、Cookie、LocalStorage、IndexedDB 等存储性内容
3、AJAX 请求不能发送
但三个标签可以允许跨域加载资源
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
