跨域的问题

最新推荐文章于 2024-11-14 18:38:59 发布
最新推荐文章于 2024-11-14 18:38:59 发布
阅读量189 收藏
点赞数
分类专栏: web页面优化

1.为什么会存在跨域

造成跨域的两种策略

浏览器的同源策略会导致跨域,这里同源策略又分为以下两种

  1. DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。
  2. XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。
作者:黄家兴
链接:https://www.zhihu.com/question/26376773/answer/244453931
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

为什么要有跨域限制

了解完跨域之后,想必大家都会有这么一个思考,为什么要有跨域的限制,浏览器这么做是出于何种原因呢。其实仔细想一想就会明白,跨域限制主要是为了安全考虑。


AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,相当危险,我们发起的每一次HTTP请求都会带上请求地址对应的cookie,那么可以做如下攻击:

  1. 用户登录了自己的银行页面 mybank.commybank.com向用户的cookie中添加用户标识。
  2. 用户浏览了恶意页面 evil.com。执行了页面中的恶意AJAX请求代码。
  3. evil.commybank.com发起AJAX HTTP请求,请求会默认把mybank.com对应cookie也同时发送过去。
  4. 银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。
  5. 而且由于Ajax在后台执行,用户无法感知这一过程。


DOM同源策略也一样,如果iframe之间可以跨域访问,可以这样攻击:

  1. 做一个假网站,里面用iframe嵌套一个银行网站 mybank.com
  2. 把iframe宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没有任何差别。
  3. 这时如果用户输入账号密码,我们的主网站可以跨域访问到mybank.com的dom节点,就可以拿到用户的输入了,那么就完成了一次攻击。

所以说有了跨域跨域限制之后,我们才能更安全的上网了。

2.jsonp解决跨域问题的原理

现在问题来了?什么是jsonp?维基百科的定义是:JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。

JSONP也叫填充式JSON,是应用JSON的一种新方法,只不过是被包含在函数调用中的JSON,例如:

callback({"name","trigkit4"});

JSONP由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。

在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的。 例如:

<script type="text/javascript">
    function dosomething(jsondata){
        //处理获得的json数据
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

js文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的json数据作为参数传入。所以jsonp是需要服务器端的页面进行相应的配合的。

<?php
$callback = $_GET['callback'];//得到回调函数名
$data = array('a','b','c');//要返回的数据
echo $callback.'('.json_encode($data).')';//输出
?>

最终,输出结果为:dosomething(['a','b','c']);

如果你的页面使用jquery,那么通过它封装的方法就能很方便的来进行jsonp操作了。

<script type="text/javascript">
    $.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
        //处理获得的json数据
    });
</script>

jquery会自动生成一个全局函数来替换callback=?中的问号,之后获取到数据后又会自动销毁,实际上就是起一个临时代理函数的作用。$.getJSON方法会自动判断是否跨域,不跨域的话,就调用普通的ajax方法;跨域的话,则会以异步加载js文件的形式来调用jsonp的回调函数。

JSONP的优缺点

JSONP的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。

JSONP的缺点则是:它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题


【Golang】Gin框架中问题解决方案
景天科技苑
10-25 5万+
在使用Go语言进行Web开发时,Gin框架因其简洁、高效的特点而被广泛使用。然而,在实际开发中,问题(CORS, Cross-Origin Resource Sharing)是一个常见的挑战。问题主要源于浏览器的源策略(Same-Origin Policy),当一个网页尝试从不的源(协议、名或端口不)请求资源时,就会产生问题。本文将结合实际案例,详细介绍在Gin框架中解决问题的多种方法。
C#浏览器提示问题解决方案
08-18
C#浏览器提示问题解决方案 问题是指在Web浏览器中,因为安全性限制,不能从一个名下的页面访问另一个名下的资源,这是浏览器的源策略(Same-origin policy)所致。问题在实际开发中经常遇到,...
问题
weixin_43862596的博客
11-18 207
问题 为什么会有 浏览器在设计初制定的安全策略导致。而是为了克服浏览器的源策略。 浏览器的源策略是为了限制CSRF攻击,因为有些场景确实需要访问不名下的资源,所以需要。 W3C规定,js代码不能访问数据。 什么是 浏览器从一个名的网页去请求另一个名下的资源时,名、端口、协议任一不,都是 即形成的条件: Host(名、IP)不 端口不 协议不 只有当协议、Host、Port三者完全一致时,才是不。 示例: 名:  主名不 htt
关于的几个问题
逐梦天下
11-03 981
一、什么是 JavaScript出于安全方面的考虑,不允许调用其他页面的对象。那什么是呢,简单地理解就是因为JavaScript源策略的限制,a.com名下的js无法操作b.com或是c.a.com名下的对象。 当协议、子名、主名、端口号中任意一个不相时,都算作不。不之间相互请求资源,就算作“”。 例如:http://www.abc.com/index.htm...
问题详解
Addisoni
01-31 8389
浅谈 阅读须知: 作者是一个在校大学生,尚未工作,以下内容依据个人理解与网上资料编写。若有错误,还请指出,感激不尽。网上对于的解释大多是一堆文字,对于初学者来说往往较难理解,这篇博客我将利用NodeJs搭建一个简易的服务器用于模拟,不懂NodeJs的小伙伴也不用紧张,只是借助于NodeJs来快速搭建一个http服务器。我将以最简单的代码去还原问题。若有兴趣的小伙伴,可自行百度学习...
问题及解决
scj1022的博客
05-19 4683
问题
问题及解决方案
xuguxiong的博客
05-17 1142
一、什么是问题问题是由浏览器的自我保护机制产生。首先了解下什么是浏览器的源策略,浏览器在访问目标地址时,当协议,IP,端口都一致的情况下才会是源。当三者中有任意一方不一致就会产生问题。注意这里协议,IP,端口在比较时,是浏览器在访问前端(比如VUE)静态资源的地址(协议,IP,端口)和界面访问后端服务器地址的协议IP端口作比较。因为浏览器最终会先去访问VUE静态资源,经渲染后在浏览器界面进行展示,然后再在界面中对后端接口进行调用。 二、如何解决问题: 1.JsonP(不推荐,存
geoserver问题jar包
06-25
标题中的“geoserver问题jar包”指的是在使用GeoServer时遇到的(Cross-Origin)限制问题。GeoServer是一款开源的地理信息系统(GIS)服务器,它允许用户发布地图服务并与其他Web应用程序交互。当不的源...
详解Vue 开发模式下问题
08-30
解决 Vue 开发模式下问题 在 Vue 开发模式下,问题是我们经常遇到的问题问题是指在不名之间进行资源请求时,出现的安全限制问题。解决问题是非常重要的,因为它会影响我们项目的正常运行。...
Java服务器端问题解决方案
08-25
Java服务器端问题解决方案 Java 服务器端问题解决方案是指在 Java 服务器端如何解决问题的解决方案。问题是指在 Ajax 请求中,因为安全限制,浏览器不能将数据发送到不源(domain、protocol 或 ...
问题详解及解决方案
无简介
04-27 8463
随着 Web 技术的不断发展,前后端分离的开发模式逐渐成为主流。在这种模式下,前端和后端分别独立开发,前端与后端通信的方式多为使用 Ajax 发送 HTTP 请求。然而,由于浏览器的安全策略限制,可能会出现问题,导致请求失败。什么是问题为什么会出现问题?什么情况下会出现?如何解决问题?代码示例问题指的是在 Web 应用程序中,由于源策略的限制,导致浏览器无法发送请求,也无法获取响应的问题
常见问题及其解决方法
qq_40728028的博客
05-13 1150
一、 什么是: 浏览器对JavaScript的源策略的限制。 明了的说,就是当满足下面几个情况时,调用将不别允许: 名不: www.jd.com www.taobao.com 二级名不: index.jd.com order.jd.com 名相,但端口不:index.jd.com:8080 index.jd.com:8081 HHTP与HTTPS之间的调用 二、什么是问题不一定会存在 问题,因为问题是浏览器针对 ajax请求的一种安全限制:即,一个aj
问题及常用的5种解决方案
m0_65419210的博客
10-16 3781
问题通常指的是在浏览器中由于源策略的限制而产生的问题源策略(Same-origin policy)是浏览器的一种安全措施,它要求请求的名、协议和端口必须与提供资源的网站相。当一个网页尝试访问另一个来源(即不名、协议或端口)的数据时,那么后端返回给浏览器的数据被浏览器拦截下来,这就是
如何解决问题
qq_32177809的博客
03-29 6397
最近项目中碰到了这个问题,“如何解决问题?”,我根据网上的资料和实际代码中的应用大概总结如下。首先我们要理解什么为什么会出现呢?:        是由浏览器的源策略引起的,访问,简单来说就是 A 网站的 js脚本代码试图去访问 B 网站(代码中包括提交内容和获取内容)。但是由于安全原因,访问是被各大浏览器所默认禁止的,而与否的判断是根据源策略来的。源策略: ...
问题的产生及解决
JiangLittleBai的博客
05-27 1759
问题的产生及解决 开发过程中,或多或少都碰见过这样的情况,本地写了个ajax请求想从某某下获取数据,代码如下: $.ajax({ url:"https://www.baidu.com", data:{ name:"name", address:"beijing" }, type:"post", ...
问题的产生和解决
最新发布
weixin_71894495的博客
11-14 1650
本文介绍了的产生,以及浏览器对的拦截机制,基于问题介绍了两种比较常见的解决方案和优缺点对比。
什么是问题问题如何解决
weixin_64105376的博客
03-11 1396
其实在学习过程中我对问题我一直都有一些疑问,一直都没有感觉自己理解的很通透,为了写这篇文章我也查阅了很多的资料,下面由我带领大家一起来探讨一下问题吧。
什么是?怎么解决问题
qq_32239417的博客
03-08 354
标签: ajaxjavascript浏览器安全 什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的源策略造成的,是浏览器对JavaScript施加的安全限制, 发生在客户端(浏览器)。所谓源是指,名,协议,端口均相,不明白没关系,举个栗子:http://www.123.com/index.html 调用 http://www.123.com/server.PHP
Geoserver问题快速解决指南
Geoserver是开源的地理空间...综合上述知识点,开发者在实施Geoserver问题解决方案时,应确保充分理解资源共享的工作原理,以及Geoserver的具体配置方法,从而在保证安全的前提下,有效地解决请求问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值