JavaScript 复习之 同源限制

最新推荐文章于 2025-03-07 18:37:18 发布
最新推荐文章于 2025-03-07 18:37:18 发布
阅读量167 收藏
点赞数
文章标签: javascript 网络 json ViewUI
原文链接:https://juejin.im/post/5c7e9d7bf265da2ddf78adae
版权

所谓“同源”指的是“三个相同”:协议相同、域名相同及端口相同。

非同源,共有三种行为受到限制。

  1. 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。

  2. 无法接触非同源网页的 DOM。

  3. 无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应)。

window.postMessage()

这个 API 为window对象新增一个window.postMessage方法,允许跨窗口通信,不论这俩个窗口是否同源。

// 父窗口打开一个子窗口
var popup = window.open('http://bbb.com', 'title');
// 父窗口向子窗口发消息
popup.postMessage('Hello World!', 'http://bbb.com');
复制代码

方法接受两个参数,第一个参数是具体的信息内容,第二个参数是接收消息的窗口的源,即“协议 + 域名 + 端口”。也可以设为*,表示不限制域名,向所有窗口发送。

子窗口向父窗口发送消息的写法类似。

// 子窗口向父窗口发消息
window.opener.postMessage('Nice to see you', 'http://aaa.com');
复制代码

父子窗口通过message事件,监听对方的消息。

// 父窗口和子窗口都可以用下面的代码,
// 监听 message 消息
window.addEventListener('message', function (e) {
  console.log(e.data);
},false);
复制代码

message事件的参数是事件对象event,提供三个属性

  1. event.source:发送消息的窗口
  2. event.origin:消息发向的网址
  3. event.data:消息内容

下面的例子是,子窗口通过event.source属性引用父窗口,然后发送消息。

window.addEventListener('message', receiveMessage);
function receiveMessage(event) {
  event.source.postMessage('Nice to see you!', '*');
}
复制代码

上面代码有几个地方需要注意。首先,receiveMessage函数里面没有过滤信息的来源,任意网址发来的信息都会被处理。其次,postMessage方法中指定的目标窗口的网址是一个星号,表示该信息可以向任意网址发送。通常来说,这两种做法是不推荐的,因为不够安全,可能会被恶意利用。

event.origin属性可以过滤不是发给本窗口的消息。

window.addEventListener('message', receiveMessage);
function receiveMessage(event) {
  if (event.origin !== 'http://aaa.com') return;
  if (event.data === 'Hello World') {
    event.source.postMessage('Hello', event.origin);
  } else {
    console.log(event.data);
  }
}
复制代码

AJAX

同源政策规定,AJAX 请求只能发给同源的网址,否则就报错。

除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个限制。

  • JSONP

  • WebSocket

  • CORS

jsonp

是服务器和客户端跨源通信的常用方法,特点就是简单适用。

基本思想是,网页通过添加一个<scritp>元素,向服务器请求 JSON 数据,这种做法不受同源策略限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

首先,网页动态插入<scritp>元素,由他向跨源网址发出请求。

function addScriptTag(src){
    let script = document.createElement('script');
    script.setAttribute('type','text/javascript');
    script.src = src;
    document.body.appendChild(script);
}

window.onload = function(){
    addScriptTag('http://example.com/ip?callback=foo');
}

function foo(data){
    console.log('Your public IP address is: ' + data.ip);
}
复制代码

上面代码通过动态添加<script>元素,向服务器example.com发出请求。注意,该请求的查询字符串有一个callback参数,用来指定回调函数的名字,这对于 JSONP 是必需的。

服务器收到这个请求以后,会将数据放在回调函数的参数位置返回。

foo({
  "ip": "8.8.8.8"
});
复制代码
WebSocket

是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀。该协议不实行同源策略,只要服务器支持,就可以通过它进行跨源通信。

下面是一个浏览器 发出的 WebStock 请求的头部信息

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com
复制代码

上面代码,有一个origin,表示请求的请求源,即发自哪个域名。

正因为有了这个字段,所以 WebStock 才没有实行同源策略。因为服务器可以根据这个字段,判断是否许可本次通信。如果该域名在白名单内,服务器就可以做出如下回应

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat
复制代码
CORS

是跨源资源分享(Cross-Origin Resource Sharing)的缩写。属于跨源 AJAX 请求的根本解决方法。允许任何类型的请求。

CORS 需要浏览器和服务器同时支持,目前所有浏览器都支持该功能。

实现 CORS 通信的关键是服务器,只要服务器实现了 CORS 接口,就可以跨域通信。

转载于:https://juejin.im/post/5c7e9d7bf265da2ddf78adae

zzm_
关注
JavaScript 漫游】【035】同源限制
CYW2019_HUST的博客
03-13 1004
本篇文章为【JavaScript 漫游】专栏的第 035 篇文章,记录了浏览器模型同源限制相关的知识点。
知识梳理——JavaScript
wytraining
03-14 1463
1. 说说前端中的事件流 HTML中与javascript交互是通过事件驱动来实现的,例如鼠标点击事件onclick、页面的滚动事件onscroll等等,可以向文档或者文档中的元素添加事件侦听器来预订事件。想要知道这些事件是在什么时候进行调用的,就需要了解一下“事件流”的概念。 什么是事件流:事件流描述的是从页面中接收事件的顺序. DOM2级事件流包括下面几个阶段:事件捕获阶段、处于目标阶段、事件冒泡阶段 addEventListener:addEventListener 是DOM2 级事件新增的指定事件处
JS-同源限制
qq_36631168的博客
11-11 322
我们举例说明:比如一个黑客程序,他利用Iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过Javascript读取到你的表单中input中的内容,这样用户名,密码就轻松到手了。
JavaScript个人总结-BOM-同源限制
最新发布
qq_31435455的博客
03-07 784
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是”三个相同“。协议相同域名相同端口相同举例来说,这个网址,协议是http://,域名是,端口是80(默认端口可以省略),它的同源情况如下。:同源:不同源(域名不同):不同源(域名不同):不同源(端口不同):不同源(协议不同)
同源限制
基地的博客
01-11 419
浏览器安全基石是“同源政策(same-origin policy)”。 1. 概述 1.1 含义 同源政策由网景公司引入浏览器,目前,所有浏览器都实行这个政策。 所谓“同源”,指的是三个相同。 协议相同 域名相同 端口相同 比如说,http://www.baidu.com/dir/1.html这个网址,协议是http://,域名是www.baidu.com,端口是80(默认端口),它的同源情况...
全面回顾前端JavaScript:基础知识到高级特性
由于浏览器同源策略的限制,前端JavaScript代码通常无法直接访问不同域下的资源。理解并掌握跨域资源共享(CORS)、JSONP、代理等跨域解决方案对于开发实际项目中的前后端交互非常关键。 7. 继承与原型链 ...
JavaScript_yufashouce
03-19
10. **跨域通信**:CORS、JSONP、WebSocket,解决不同源策略带来的限制。 通过深入学习这些内容,并结合提供的"JavaScriptHelp_cn.chm"和"JavaScript_yufashouce.pdf"资源,开发者不仅可以提升JavaScript编程技能,...
JavaScript面试精华:常见问题与解答解析
- IFrame的功能包括A、B、C,如嵌入内容、跨域通信(同源策略限制)、大小调整等。 5. **HTML表格的使用** - 表格元素选项全对,包括TBODY(表格主体)、CAPTION(表头)、多个TBODY、COLGROUP(列组)和表格中的...
Ajax复习++++++++++5.24.zip
06-03
JSONP(JSON with Padding)是解决同源策略限制的一种方式,适用于获取跨域数据。它通过动态插入`<script>`标签来实现。服务器返回一个JavaScript函数调用,函数名由客户端指定,并传入JSON数据。 **5. CORS跨域** ...
同源限制及解决方案
想了半天,还不知道写点什么
12-08 1512
这里写自定义目录标题什么是同源?新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是同源? 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇
深入理解同源限制网络安全的守护者(下)
你若盛开,清风自来
12-02 1234
🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6🍨🕠 牛客高级专题作者、在牛客打造高质量专栏🍚 蓝桥云课签约作者、已在蓝桥云课上架的前后端实战课程。
深入理解同源限制网络安全的守护者(上)
你若盛开,清风自来
12-02 1070
🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6🍨🕠 牛客高级专题作者、在牛客打造高质量专栏🍚 蓝桥云课签约作者、已在蓝桥云课上架的前后端实战课程。
说说HTTP协议中的同源策略及其限制
长风破浪会有时的博客
04-29 228
比如,一个网页想要向另一个网页发送AJAX请求来获取数据,如果这两个网页不是同源的,那么请求就会被阻止。:同源策略还限制了网页之间数据的共享。比如,一个网页想要读取另一个网页上的Cookie(存储在我们电脑上的小数据),如果这两个网页不是同源的,那么就不能读取。总的来说,同源策略就像是一道保护我们网络安全的屏障,它确保只有我们信任的网站才能与我们的浏览器进行交互,从而保护我们的个人信息和数据不被恶意网站窃取或滥用。简单来说,它就像是我们家里的门锁,只允许家人(同源)进出,不允许陌生人(非同源)随便闯入。
JavaScript 教程】浏览器—同源限制
web前端开发
03-22 371
作者 | 阮一峰浏览器安全的基石是“同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。1、概述1.1、含义19...
解决同源限制问题(跨域)
子非鱼焉非我所愿的博客
05-02 480
一.同源 1.什么是同源:如果两个页面协议,域名,端口都相同,那么就属于同源,只要其中一个不相同,那就是非同源 2.同源政策的目的:保护用户信息安全 ,A网站在客户端的cookie,B网站时获取不到的 二.解决同源限制 1.JSONP:script标签没有同源问题,通过利用script标签里的src属性指定服务器端网站,服务器端返回一个函数的调用,把要传的数据放在函数的实参中,在客户端准备这个函数的定义 ①.客户端: <script src="要访问的地址"></script
什么是同源策略及限制
weixin_30416871的博客
06-28 983
同源策略限制从一个源加载的文档或者脚本如何与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制。 cookie、localStorage和indexDB无法读取 DOM无法获得 AJAX请求不能发送 转载于:https://www.cnblogs.com/zhouyideboke/p/9237540.html...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值