【前端学习 - 浏览器(12)跨域】

最新推荐文章于 2025-03-07 22:20:26 发布
最新推荐文章于 2025-03-07 22:20:26 发布
阅读量233 收藏
点赞数
分类专栏: 浏览器 文章标签: 前端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_60364883/article/details/122584760
版权

1. 跨域

什么是同源策略:

同源策略是指协议、端⼝、域名相同,也就是在同⼀个域中。

⾮同源受到的限制:

cookie⽆法读取、dom⽆法获取、ajax请求⽆法发送。

什么是跨域:

两个不同域(协议、端⼝、域名不同)之间进⾏请求。

解决跨域的⽅法

  • JSONP,通过动态创建⼀个script标签,script标签的src属性是没有跨域的限制的。
  • cors,服务端在response时增加⼀些头信息:
  • Nginx做反向代理
  • 开发环境跨域使⽤ webpack-dev-server 的 proxy


 

Jsonp如何实现
X_X_OO的博客
09-01 610
JSONP的最基本的原理是:动态添加一个script标签,而script标签的src属性是没有的限制的。这样说来,这种方式其实与ajax XmlHttpRequest协议无关了。 JSONP(JSON with Padding)是json的一种”使用模式”,可用于解决主流浏览器数据访问的问题。由于同源策略,一般来说位于 server1.example.com 的网页无法与不是 se
CSP绕过
weixin_42478365的博客
05-10 3497
01 比赛中常见的绕过CSP 目前在比赛中常见的绕过 CSP 一般是: script-src 'self' 'unsafe-inline' script-src 'self' 'unsafe-eval' script-src 'nonce-*' xx-src self script-src ‘self’ 代表着只能加载符合同源策略的文件,直接插入至 html 页面中的静态 script 标签将无法执行。结合其他 CSP 来看,常用的 iframe,object 等标签也是无法被绕过的。 下面分别分析
Nginx 常用安全头
最新发布
m0_74823683的博客
03-07 957
Web 应用中HTTP 安全响应头是提升网站安全性的重要一步。合理置 Nginx 的安全头,可以抵御常见的安全威胁(如 XSS、点击劫持、MIME 类型嗅探等),增强用户隐私保护和传输安全性。:限制资源(如脚本、样式、图片等)的加载来源,防止 XSS 和数据注入攻击。<object><embed>iframe注意事项:如果需要加载第三方资源(如 CDN),需显式添加来源。避免使用和,减少 XSS 风险。
Content Security Policy directive: “script-src ‘self‘ ‘unsafe-eval‘“
albb58的博客
04-29 1万+
谷歌插件开发 Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
使用无括号的XSS绕过CSP策略研究
weixin_46236101的博客
10-14 800
研究目标 绕过一个严格CSP策略 default-src ‘self’; script-src ‘self’; 技巧点一,无CSP的前提下执行任意XSS payload window.name=eval(alert(1)) location=name 说明: window.name是可以的,这恶意网站上设置window.name,再让受害者访问有xss漏洞的网站,注入xss payload,location=name,即可在有长度限制前提下,执行任意的xss代码。 这个操作绕不过CSP。 技巧点二,ja
Spring Security置内容安全策略
Nicky's blog
05-27 6898
内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准
老生常谈的前端高频面试题 ---- 浏览器问题
qq_43477721的博客
08-22 1084
浏览器问题 为了防止网站遭到恶意攻击,导致信息被窃取,所以浏览器设计了同源策略。 为什么浏览器会禁止 浏览器是很开放的,只要在地址栏里面输入网址或者点击某个链接就可以访问了。正是因为这种开放的形态,才需要对浏览器做出限制,保护用户的信息安全。因此同源策略就是用来保护信息安全的。 什么是同源策略 同源政策由 Netscape 公司引入浏览器。同源策略是一个安全策略。所谓的同源,指的是协议,域名,端口相同。 浏览器出于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况.
使用webpack-dev-server处理请求的方法
08-27
前端开发中,请求一直是一个棘手的问题。请求是指从一个域名下的网页去请求另一个域名下的资源,而这种请求会被浏览器的同源策略所阻止。常见的解决方法包括使用JSONP、CORS、Proxy等,但这些方法都有其...
使用proxytable 置解决 vue-cli 的请求问题【推荐】
12-09
而在这种前后端分离的开发模式下,往往前端项目与后端项目的 IP地址、端口号、协议 大概率是不一样的,由于浏览器的安全策略设定,不进行相应置的话,前端的请求就会被浏览器拦截掉啦。 假设某个页面组件在加载的...
chrome浏览器插件
10-10
chrome浏览器插件正是为解决这一问题而生。 该插件的工作原理是在本地设置一个代理服务器,将前端发出的请求转发到目标服务器,并将返回的数据再转发回前端,从而绕过浏览器同源策略的限制。开发者通过安装...
send-json:浏览器发送json
05-09
总的来说,`send-json`库为JavaScript开发者提供了一个便捷的工具,用于浏览器地发送JSON数据,解决了问题,使得前端与后端API的交互更加顺畅。其背后的实现可能涉及到XMLHttpRequest或Fetch API,以及CORS...
Content Security Policy 学习笔记之二:default-src 指令的使用方式
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
05-14 3130
我们定义了这样一条 CSP 策略: Content-Security-Policy: script-src ‘self’ https://apis.google.com script-src 是一个指令,用于控制特定页面的一组与脚本相关的权限。 我们将 self 指定为一个有效的脚本来源,并将 https://apis.google.com 指定为另一个。 浏览器尽职尽责地通过 HTTPS 从 apis.google.com 以及当前页面的来源下载并执行 JavaScript。 定义此策略后,当浏览器
script标签影响页面显示
SHIYULANGMAN的博客
07-06 756
我们在使用<script>标签的时候,常常搞不清楚什么时候会延迟页面的显示,这里总结一下。 页面的javascript代码有两种写法,包括在页面中嵌入JavaScript代码和通过属性src引入外部代码文件。 针对这两种方式,分开阐述。 在页面给中嵌入JavaScript的方式 放在<head></head>标签中时 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
站脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
手把手教你CSP系列之script-src
菜鸟路上的小白
08-04 3550
HTTP Content-Security-Policy(CSP)script-src指令为JavaScript的源指定有效来源。这不仅包括直接加载到。
【网络安全 | 浏览器安全机制】内容安全策略(CSP)及沙箱环境
等风来
08-25 9216
以上为浏览器安全机制之内容安全策略(CSP)及沙箱环境详析,内容安全策略(CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
CSP内容安全策略原理与绕过
st3pby的博客
11-09 3235
Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括站脚本(XSS)和数据注入攻击。
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 7975
【XSS绕过-合集】
“default-src ‘self‘“‘script-src‘因为它违反了以下内容安全策略指令:“default src‘self‘”。
Caiabcd的博客
05-04 1万+
错误信息 Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256- kPY6ovEPaw5y+RgWpejDaoJa2JT9tURMxvKvnhgv1XM='), or a nonce ('nonce-...')
前端font-face
08-31
前端的@font-face在问题上会遇到一些挑战。当字体文件存放在不同的域名或端口上时,浏览器会默认遵循同源策略,即只有相同域名、端口和协议的资源才可以被加载和使用。这就导致了在使用@font-face时,字体文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宇六岁鸭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值