前端基础 | 浅谈前端跨域

最新推荐文章于 2025-01-26 15:45:36 发布
最新推荐文章于 2025-01-26 15:45:36 发布
阅读量1.7k 收藏 16
点赞数
文章标签: 跨域 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41872030/article/details/82465594
版权
本文主要探讨了前端开发中的跨域问题,包括同源策略、Cookie跨子域共享、iframe窗口通信的各种方式,如document.domain、window.name、location.hash以及window.postMessage。此外,还详细介绍了AJAX跨域的JSONP和CORS实现。通过实例讲解了如何在不同场景下实现跨域通信,是前端开发者理解跨域问题的良好参考资料。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

@author YogaZheng

鉴于本人目前正处于前端基础知识学习阶段,本文仅是在阅读了网络上诸多相关文章后的一个总结,加上一点自己写的小例子,更多的是用于自己的个人积累。看到这篇文章的朋友,我更建议大家去阅读本文参考资料中的文章(均附有链接),可以对跨域问题有更深刻的理解。

目录

同源与跨域

同源

同源策略

跨域

Cookie跨子域共享

iframe跨域窗口通信

document.domain

window.name(完整例子见附一)

location.hash

window.postMessage

AJAX跨域实现

JSONP

CORS

参考资料

附一:document.name在跨域中的应用举例

同源与跨域

同源

如果两个页面协议相同、域名相同、端口相同,则称这两个页面同源。相反的,如果两个页面的协议、域名、端口中有一个或多个不同,则称这两个页面非同源。

对于网址http://www.cityworks.cn:80而言,http://是协议,www.cityworks.cn是域名,80是端口(默认端口通常省略)。对于这个网址,其同源情况如下:

  • http://www,cityworks,cn/pages/newsInfo,html 同源,协议、域名、端口均相同

  • https://www.cityworks.cn:80 不同源,协议不同

  • http://www.yuque.com 不同源,域名不同

  • http://www.cityworks.cn:2333 不同源,端口不同

同源策略

简单来说,同源策略是限制了两个源之间资源交互的一种浏览器安全机制。对于非同源网页/网站,会受到三种行为限制:

  • 无法读取对方的Cookies、LocalStorage、IndexDB

  • 无法获得对方的DOM

  • 无法向对方发送AJAX请求

同源策略的制定是出于网络安全性考虑,防止恶意窃取数据,隔离潜在恶意文件。设想以下两种情景:

  • 你打开了银行账户页面,然后又"不小心"打开了一个恶意网站,如果没有同源策略,此时该恶意网站就可以通过javascript脚本"随心所欲地"访问、窃取、修改你的银行信息,包括账号密码。

  • 当你使用Cookie来维护用户的登录状态时(这也是我们现在经常做的),如果没有同源策略,这些Cookie信息就会泄露,其他网站就可以冒充这个登录用户。

跨域

如果两个页面非同源,我们试图进行这两个页面通信的行为称为跨域。

这里值得一提的是,跨域并非是浏览器限制了发起跨域请求,而是跨站请求可以正常发起,但返回结果被浏览器拦截了。也有特例,比如Chrome和Firefox浏览器对于从HTTPS协议访问HTTP协议的跨域请求在其未发出时就拦截。

在实际的项目开发过程中,我们总会不可避免的要进行跨域请求操作。但是,对于协议和端口不同的跨域问题,前端是无法解决的,需要通过后台实现。 所以通常而言,前端所说的跨域处理指的是对于不同域名通信的跨域实现,也就是本文讨论的主要内容。

 

Cookie跨子域共享

我们知道,由于同源策略的限制,Cookie只有同源的页面才能共享。但是,如果两个页面主域名相同,子域名不同,浏览器允许通过设置docuement.domain共享Cookie和DOM。

举个栗子,A页面地址是http://a.example.com/a.html,B页面地址是http://b.example.com/b.html,那么只要两个页面将各自的document.domain指向同一主域example.com,它们就可以共享Cookie。

在A页面设置document.domain,并通过脚本设置一个Cookie:

document.domain = 'example.com';
document.cookie = 'favourite_food=chocolate';

在B页面设置相同的document.domain,就可以读取到这个Cookie:

document.domain = 'example.com';
console.log(document.cookie); //包括'favourite_food=chocolate'

另外,服务器也可以在设置Cookies的时候,指定Cookies的所属域名为主域名:

Set-Cookie: key=value; domain=.example.com; path=/

如此,二级、三级域名不用做任何设置,就都可以读取这个Cookie。

 

iframe跨域窗口通信

项目中会有使用iframe把其他域名的内容嵌入页面中的场景(比如登录/注册等表单提交浮窗),有时候会需要与父窗口进行通信。

document.domain

如果打开窗口的主域与父窗口主域相同,子域名不同,那么同Cookie一样,可以使用document.domain进行通信,获取彼此的DOM。

举个栗子:在A页面http://a.example.com/a.html中有一个<iframe>标签,它的src属性的值是http://b.example.com/b.html,对应B页面,它们有共同的主域example.com,那么只要两个页面将document.domain设置为这一主域,就可以相互访问DOM。

父窗口a.html:

<iframe id="iframe" src="http://b.example.com/b.html"></iframe>
<ul id="arms">
    <li>陈情</li>
    <li>避尘</li>
</ul>
<script type="text/javascript">
    document.domain = 'example.com';
    window.onload = function() {
        var iframe = document.getElementBtId('iframe');
        var childDoc = iframe.contentWindow.document;
        console.log(doc.getElementById('cp')); // 魏无羡 蓝忘机
    }
</script>

子窗口b.html:

<ul id="cp">
    <li>魏无羡</li>
    <li>蓝忘机</li>
</ul>
<script type="text/javascript">
    var parentDoc = window.parent.document;
    console.log(doc.getElementById('arms')); // 陈情 避尘
</script>

window.name(完整例子见附一)

window.name有一个特征:在一个窗口(window

最低0.47元/天 解锁文章
YogaZheng
关注
前端网络——
m0_51937621的博客
01-24 2142
前端网络—— 一、什么是 1、是指浏览器不能执行其他网站脚本,它是由浏览器同源策略造成的,是js的安全机制。 2、我们知道,页面本身由协议、名、端口号等组成,例如:https://www.baidu.com:80。只要协议、名和端口号三者中有任意一个不同,就算发生在哪里? 行为发生在浏览器。 =过程= 在一次请求数据的过程中: 即使发生了,请求亦可以发出; 服务器端可以接收、正常处理并正常返回; 数据返回后,浏览器可以接受到数据; 接收数据后,浏览器发现当前页面的同请求
前端 | 浅谈预检请求
u012496505的博客
09-17 6322
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求,预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
JSONP
weixin_41470109的博客
04-16 359
       JSONP是JSONwithpadding(填充式JSON或参数式JSON)的简写,是应用JSON的一种新方法,在后来的Web服务中非常流行。JSONP看起来与JSON差不多,只不过是被包含在函数中的JSON。collback({"name":"NINI"});      JSONP是由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面总调试的函数。回调函数的名字一般食杂请...
前端新人百问(1)是什么
SCP_880的博客
11-25 706
目录前言什么是发生的三个必要条件常见的场景解决的常见方法1.jsonp解决问题2.window.name+iframe解决3.postMessage解决总结 前言 本人开始接触前端有一年左右,期间遇到了许多问题,有些问题在当下被解决之后,再次遇到还是会有些模糊和不解。与其说是新人百问,不如说是我自己的百问,希望能整理出来这些知识供自己回顾,也供大家学习和指点。 什么是...
什么是前端,怎么解决问题
pshdhx的博客
02-02 7321
什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指:名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http://www.456.com/server.php (主名不同:123/456,) http://abc.1
前端详解
liuyang1106的博客
10-21 401
造成的原因 1.浏览器限制(同源策略) 同源策略的解释有很多,我这里贴上阮一峰老师的解释地址,有兴趣可以去看看阮一峰同源策略,用一句话解释就是,协议相同,端口相同,名相同。比如下面这个url,https://www.baidu.com:443,使用的是https协议,名是www.baidu.com,端口是443。当三者有一者不同,则会触发浏览器的同源策略,也就是通常所说的。 2....
浅谈Windows环境前端使用Nginx反向代理(
最新发布
weixin_45149481的博客
01-26 551
大部分时候前端开发使用webpackvite等构建工具,都有自带的proxy代理功能,配置好后启动就ok了。但有时候只有html的,或者想测试一下打完包的代码能否正常使用,这时候就可以通过Nginx进行反向代理。
浅谈AjaxSession和访问
10-25
Ajax请求和Session是前端开发中经常遇到的问题,它们对于保证Web应用的安全性和用户体验都至关重要。在处理问题时,开发人员需要注意很多细节和规则,以确保数据的正确传输和用户状态的正确识别。 首先...
浅谈angular.jspost解决方案
01-19
前端开发中经常遇到的问题,AngularJS实现方式类似于Ajax,使用CORS机制。 下面阐述一下AngularJS中使用$http实现请求数据。 AngularJS XMLHttpRequest:$http用于读取远程服务器的数据 $http.post...
前端知识点-----
2301_79265530的博客
11-14 240
是指当一个网页的运行脚本试图去请求另一个网页的资源时,这两个网页的名、协议、端口)不一样,即存在请求。不同名:例如一个网页通过 AJAX 请求另一个名下的接口数据。不同子名:例如通过 AJAX 请求下的资源。不同协议:例如使用http://的页面通过 AJAX 请求https://页面下的资源。不同端口:例如一个页面运行在,试图请求下的资源。浏览器出于安全考虑会限制请求,这种限制被称为“同源策略”(Same-Origin Policy)。
前端基础问题:
csdn_wzq的博客
12-16 1071
是指在 Web 开发中,当一个网页的源(origin)与另一个网页的源不同时,就会发生。源由协议、名和端口号组成。如果两个 URL 的协议、名和端口号中任何一个不同,就被认为是限制是由浏览器实施的安全策略,它防止一个网页的脚本通过在其他网页的上下文中执行来窃取敏感信息或执行恶意操作。浏览器会限制请求,例如通过 XMLHttpRequest 或 Fetch API 发送的 HTTP 请求通常会被拒绝,除非目标服务器明确允许这样的请求。的主要解决方案Jsonp主要是借助了。
前端解读
JackChan
06-15 212
前端
前端知识
Rnger的博客
08-23 615
1、什么是:只要协议、名、端口有一个不相同就是属于,为了浏览器安全考虑,浏览器有一个同源策略,但也为iframe引入和ajax请求带来不少的麻烦,所以需要通过一些方法是本地js能够操作其他的页面对象或者其他的js能够操作本的页面对象(iframe之间)。下面是具体的情况详解: URL 说明 是否允许通信 http://www.a.com/a....
前端总结
baiqiangdoudou的博客
03-13 360
一、什么是??? 是指一个下的文档或脚本去请求另一个下的资源,俗称请求。 主要是由于浏览器出于安全问题的考虑,采用了同源策略,通过浏览器对JS的限制,防止恶意用户获取非法的数据。 二、什么是同源策略??? 同源策略是一种约定,他是浏览器最核心最基本的安全功能,如果缺少同源策略,浏览器很容易受到xss(XSS攻击原理:通过向用户界面中注入script脚本,然后在脚本中获取用户的t...
前端的理解和解决的方案详解(全)
txun123的博客
04-18 2015
作为前端开发,我们遇到最多的应该就是问题,对于萌新来说,就是一道墙,不知所措,其实只要理解了的含义和原理,解决它是不难的,今天给大家介绍下什么是的解决方案! 什么是是指一个下的文档或脚本试图去请求另一个下的资源,这里是广义的。 广义的: 1、资源跳转:A链接、重定向、表单提交 2、资源嵌入:如<link>、<script>、<img>、<frame>等dom标签,还有样式中background:url.
深入解析:前端问题及其CORS、代理、JSONP、Nginx反向代理等解决方案
JINGWHALE
04-23 1821
本文深入阐述了前端问题及其CORS、代理(尤其是开发阶段的代理)、JSONP、Nginx反向代理等解决方案。前端开发者在遇到问题时,需要根据项目需求、开发环境和服务器配置选择适用的解决方案,以确保浏览器端能够顺利访问所需资源。
前端的几种方法
认真和努力总没有错
03-20 368
备注: 1、端口和协议的不同,只能通过后台来解决 2、localhost和127.0.0.1虽然都指向本机,但也属于 当协议、子名、主名、端口号中任意一个不相同时,都算作不同。不同之间相互请求资源,就算作“”。 并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才...
什么是及怎么解决问题?
热门推荐
lianzhang861的博客
12-07 5万+
什么是? 这篇博文解释的挺清楚,我直接引用https://blog.youkuaiyun.com/lambert310/article/details/51683775 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,名,协议,端口均相同,只要有一个不同,就是。不明白没关系,举个栗子: http://www.123.com/i...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值