跨域问题

最新推荐文章于 2024-05-19 22:48:22 发布
最新推荐文章于 2024-05-19 22:48:22 发布
阅读量255 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 笔试 面试 文章标签: 跨域 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41768263/article/details/87979529

跨域问题:先了解几个概念

同源:如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

同源策略:限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

所以,出现跨域问题的原因是因为浏览器的同源策略导致的;浏览器的锅。

那么,为什么会有同源策略,没有会产生什么影响:

  1. CSRF  中文名称:跨站请求伪造

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

       CSRF原理: Cookie是由HTTP服务器设置的,保存在浏览器中,在用户访问其他页面时,会在HTTP请求中附上该服务器之前设置的Cookie。

    2. 如果没有同源策略,钓鱼网站会拿到别的网站的DOM,从而拿到你输入的账号密码;比如:你要访问的是www.zhifubao.com进行登录,结果点进了一个www.zifubao.com的网站。。。

所以,同源策略的作用就是规避这些风险的,但是有了同源策略,又会出现跨域的问题,那么,跨域的问题怎么解决呢?

  1. Jsonp跨域

jsonp 全称是JSON with Padding,是为了解决跨域请求资源而产生的解决方案,是一种依靠开发人员创造出的一种非官方跨域数据交互协议。一个是描述信息的格式,一个是信息传递双方约定的方法。

Jsonp的产生:

1.AJAX直接请求普通文件存在跨域无权限访问的问题,不管是静态页面也好.

2.不过我们在调用js文件的时候又不受跨域影响,比如引入jquery框架的,或者是调用相片的时候

3.凡是拥有scr这个属性的标签都可以跨域例如<script><img><iframe>

4.如果想通过纯web端跨域访问数据只有一种可能,那就是把远程服务器上的数据装进js格式的文件里.

5.而json又是一个轻量级的数据格式,还被js原生支持

6.为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback 参数给服务端,

①基于script标签实现跨域:

举个例子:我在http://study.cn/json/jsonp/jsonp_2.html下请求一个远程的js文件

<script type="text/javascript" src="http://web.cn/js/message.js"></script>

②基于script标签实现跨域

例如:在http://study.cn/json/jsonp/jsonp_3.html页面请求

http://192.168.31.137/train/test/jsonpthree;通过callback回调函数

jsonp形式的ajax请求:并且通过get请求的方式传入参数,注意:跨域请求是只能是get请求不能使用post请求

2.document.domain + iframe跨域

有限制,必须要有相同的基域,如:http://www.a.itcast.com/index.html

http://www.b.itcast.com/login.html,就有相同的基域itcast.com

实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。

1.a窗口:(http://www.a.itcast.com/index.html

<iframe id="iframe" src="http:// www.a.itcast.com/index.html "></iframe>

<script>

    document.domain = ' itcast.com ';

    var user = 'admin';

</script>

2.b窗口:(http://www.b.itcast.com/login.html

<script>

    document.domain = ' itcast.com ';

    // 获取父窗口中变量

    alert('get js data from parent ---> ' + window.parent.user);

</script>

3. window.name + iframe跨域

       用的比较少,比较麻烦,不总结了,知道可以跨域就行

4. postMessage跨域

       postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一,它可用于解决以下方面的问题:

a.) 页面和其打开的新窗口的数据传递

b.) 多窗口之间消息传递

c.) 页面与嵌套的iframe消息传递

d.) 上面三个场景的跨域数据传递

5. 跨域资源共享(CORS

       用的比较多,目前,所有浏览器都支持该功能(IE8+:IE8/9需要使用XDomainRequest对象来支持CORS),CORS也已经成为主流的跨域解决方案。

普通跨域请求:只服务端设置Access-Control-Allow-Origin即可,前端无须设置;

若要带cookie请求:前后端都需要设置

前端:xhr.withCredentials = true;

后台:

6. nginx代理跨域

       原理:同源策略是浏览器的安全策略,不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议,不会执行JS脚本,不涉及到浏览器,不需要同源策略,也就不存在跨越问题。

 

参考文档:https://segmentfault.com/a/1190000011145364

 

【Golang】Gin框架中问题解决方案
景天科技苑
10-25 5万+
在使用Go语言进行Web开发时,Gin框架因其简洁、高效的特点而被广泛使用。然而,在实际开发中,问题(CORS, Cross-Origin Resource Sharing)是一个常见的挑战。问题主要源于浏览器的同源策略(Same-Origin Policy),当一个网页尝试从不同的源(协议、名或端口不同)请求资源时,就会产生问题。本文将结合实际案例,详细介绍在Gin框架中解决问题的多种方法。
NGINX 解决问题
最新发布
qq_41586848的博客
04-03 2268
问题主要出现在浏览器的同源策略下。根据同源策略,浏览器只允许页面向与其同源(协议、名和端口号都相同)的服务器发送请求。如果前端页面想要请求一个来自其他源(即不同名、协议或端口)的资源,浏览器会默认阻止请求,产生问题。例如,前端页面发送请求到,就会触发问题。这条配置允许浏览器发送和Accept等自定义请求头。如果你的前端代码中使用了这些请求头,必须在这里进行设置。通过 NGINX 配置 CORS 头部,我们可以灵活地解决问题,保证前端和后端能够顺利通信。
so 动态调试
shuang__zi的专栏
10-22 1603
1.在D:\wtwWork\fanbianyi\ida\579900 IDA_Pro_7.0_Windows\IDA Pro 7.0 Windows\idapro7\IDA 7.0\dbgsrv 下的android_server64 push到/data/local/tmp 2. 到 /data/local/tmp 下给与权限 chmod 777 android_server64 ,并 ./android_server64 运行脚本 3. adb forward tcp:23946 tcp:239...
Apktool回编译apk遇到的问题及解决方案
github_39998545的博客
08-07 2万+
背景: 在安卓逆向分析开发中,如果要重组apk,我们经常会使用开源工具apktool进行反编译,然后重编译apk。但是,经常会遇到一些奇奇怪怪的问题,导致回编译失败。 目的: 该博客目的在于记录回编译apk的时候出现过的问题和解决方案的记录。 命令: (前提是你的电脑已经具备了安卓开发环境、同时已下载了apktool并且将apktool配置到环境变量中) 反编译apk命令:apktoo...
Android使用ndk-stack获取so奔溃堆栈
08-04 594
利用NDK做开发,因为各种原因的不小心,导致了闪退问题,没有stack的话,很难查到问题的所在。这时候ndk-stack出场了。 先看看如下DUMP信息: ********** Crash dump: ********** Build fingerprint: 'OPPO/A33/A33:5.1.1/LMY47V/1390465867:user/release-ke...
问题及解决
scj1022的博客
05-19 5269
问题
Springboot解决问题方案总结(包括Nginx,Gateway网关等)
热门推荐
qq_35716689的博客
03-23 25万+
问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、名和端口)的资源,当 JavaScript 发起的请求越了同源策略,即请求的目标与当前页面的名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
问题详解
qq_38571892的博客
03-11 1万+
什么是 的概念很简单,即当一个请求URL的协议、名、端口三者之间任意一个与当前页面URL不同则视为,而问题产生的原因主要是由浏览器的“同源策略”限制导致的,是浏览器对JavaScript 施加的安全限制。 什么是同源策略 所谓同源是指协议、名以及端口要相同。我们举例说明:假如有这么一个网站:http://www.example.com/zw/index.html,很容易知道,它的协议是http://,名是www.example.com,端口号是80(默认端口可以省略),它的同源情况如下
什么是?怎么解决问题
lymt95的博客
11-27 2万+
同源策略 同源策略案例 什么是 解决方法 1.ajax的jsonp 2.CORS方式 3.nginx 转发
Axios解决问题(Vue2版)
weixin_43565079的博客
09-13 7万+
什么是 首先需要了解到浏览器的同源策略,同源策略是最核心也是最基本的安全功能,缺少同源策略浏览器的正常功能可能会受到影响。同源策略会阻止一个javascript脚本和另外一个的能容进行交互。同源(即指在同一个)就是两个页面具有相同的协议(protocol)、主机(host)和端口号(port)。 当一个请求url的协议、名、端口三个之间任意一个与当前页面url不同即为。 Vue中用Axios解决问题 配置代理可解决使用Axios不能直接进行...
geoserver问题jar包
06-25
标题中的“geoserver问题jar包”指的是在使用GeoServer时遇到的(Cross-Origin)限制问题。GeoServer是一款开源的地理信息系统(GIS)服务器,它允许用户发布地图服务并与其他Web应用程序交互。当不同的源...
详解Vue 开发模式下问题
08-30
解决 Vue 开发模式下问题 在 Vue 开发模式下,问题是我们经常遇到的问题问题是指在不同的名之间进行资源请求时,出现的安全限制问题。解决问题是非常重要的,因为它会影响我们项目的正常运行。...
C#浏览器提示问题解决方案
08-18
C#浏览器提示问题解决方案 问题是指在Web浏览器中,因为安全性限制,不能从一个名下的页面访问另一个名下的资源,这是浏览器的同源策略(Same-origin policy)所致。问题在实际开发中经常遇到,...
Java服务器端问题解决方案
08-25
Java服务器端问题解决方案 Java 服务器端问题解决方案是指在 Java 服务器端如何解决问题的解决方案。问题是指在 Ajax 请求中,因为安全限制,浏览器不能将数据发送到不同源(domain、protocol 或 ...
解决arcgis server问题
07-22
解决arcgis server问题: 1、停掉ArcGIS Server的服务。 2、 打开<ArcGIS Server> \framework\runtime\tomcat\conf\web.xml,注册bean 3、lib下拷贝 cors-filter-2.5.jar java-property-utils-1.9.1.jar包 4...
数据库三范式理解
weixin_41768263的博客
03-19 2万+
一般来说的数据库三范式都是指的关系型数据库,范式指的就是规范的意思,三范式指的就是利用关系型数据库进行建表时候普遍需要遵循的三个规范(即1NF,2NF,3NF); 1NF:建表时要保证列的原子性(即不可分割性);打个比方:电话这个字段有可能是座机,也有可能是手机,具有可分割性,所以不符合1NF;应该改成:这样就符合列的不可分割性,即第一范式; 2NF:第二范式(2NF)是在第一范式(1NF)的...
品优购第十三天ActiveMQ理解
weixin_41768263的博客
02-27 785
什么是activeMQ? ActiveMQ 是一个 MOM(面向消息中间件(Message-oriented middleware),是用于以分布式应用或系统中的异步、松耦合、可靠、可扩展和安全通信的一类软件。MOM 的总体思想是它作为消息发送器和消息接收器之间的消息中介,这种中介提供了一个全新水平的松耦合),是一个实现了 JMS (Java 消息服务(Java Message Service),...
品优购第八天Redis理解
weixin_41768263的博客
02-27 779
什么是Redis,什么是Jedis,什么是Spring Data Redis?有什么区别? Redis是一个开源的、使用C语言编写的、支持网络交互的、可基于内存也可持久化的Key-Value数据库。在开发中,多用于实现缓存。 Jedis是Redis官方推荐出来的面向java的客户端,可用于java开发中操作Redis的对象 Spring-data-Redis是spring大家族的一部分,提供了...
品优购第十天solr理解
weixin_41768263的博客
02-27 588
什么是solr?作用是什么? Solr是基于Lucene开发的全文检索服务器,而Lucene就是一套实现了全文检索的api,其本质就是一个全文检索的过程。全文检索就是把原始文档根据一定的规则拆分成若干个关键词,然后根据关键词创建索引,当查询时先查询索引找到对应的关键词,并根据关键词找到对应的文档,也就是查询结果,最终把查询结果展示给用户的过程。 2.Solr,Solrj,Spri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值