跨域与同源策略

已于 2025-02-13 16:35:54 修改
阅读量668 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: HTTP 文章标签: HTTP
于 2019-03-13 11:25:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wsln_123456/article/details/87890804

域名:

域名由英文字母、数字、英文点、英文横杠组成,不区分大小写。每一个点分隔开的部分称为一个标号,每一个标号都不能超过 63 个字符。标号的级别从左到右由低到高,因此最右边的标号称之为顶级域名,次右边的域名称之为二级域名,再左边的域名称之为三级域名。

其实域名的完整写法应该是顶级域名后面再加一个点,这个点就是根。

在这里插入图片描述

同域和不同域:

https(协议)://www.imooc.com(域名):443(端口号)/course/list(路径)

协议、域名、端口号都一样,就是同域;只要有任何一个不一样,就是不同域。

同不同域与路径无关。

跨域与同源策略:

跨域:向一个域发送请求,如果要请求的域和当前域是不同域,就是跨域。

跨域请求:不同域之间的请求,就是跨域请求。

同源策略:跨域请求会被阻止,是因为浏览器本身的一种安全策略,同源策略。不同协议、域名、端口号的客户端脚本在没有明确授权的情况下,不能读写对方资源。

不允许跨域访问并非是浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。

<script><iframe><link><a><img>等标签都可以加载跨域资源。

// 同域
const xhr = new XMLHttpRequest()
xhr.addEventListener('readystatechange', () => {
	if (xhr.readyState !== 4) return 

	const str = xhr.responseText
	console.log(str);
})
xhr.open('get', './index.json', true) // 请求的是本地的一个 JSON 文件
xhr.send(null)

请添加图片描述

// 不同域:会产生跨域,请求被浏览器阻止
const xhr = new XMLHttpRequest()
xhr.addEventListener('readystatechange', () => {
	if (xhr.readyState !== 4) return 

	const str = xhr.responseText
	console.log(str);
})
xhr.open('get', 'https://www.imooc.com:443/course/list', true)
xhr.send(null)

请添加图片描述

解决跨域:

通过 JSONP 跨域:

JSONP 是一种非正式传输协议,该协议的一个要点就是允许用户以参数的形式将 callback 传递给服务端,然后服务器端返回数据时会将这个 callback 作为函数名来包裹住 JSON 数据。

JSONP 的原理:<script> 标签跨域不会被浏览器阻止,JSONP 主要就是利用 <script> 标签加载跨域资源。

JSONP 的优点:浏览器的支持度好,古老的浏览器都可以支持;缺点:JSONP 只支持 GET 请求。

<script>
	 var script = document.createElement('script');

	 // 以参数的形式将 callback 传递给服务端
	 script.src = 'https://www.imooc.com/api/http/jsonp?callback=handleResponse';
	 document.body.appendChild(script);
	
	 // 声明 callback 回调函数,服务端返回数据后会自动执行
	 var handleResponse = res => {
		console.log(res);
	 }
</script>

请添加图片描述
访问 https://www.imooc.com/api/http/jsonp?callback=handleResponse 可以看到这个接口返回的数据。

请添加图片描述
http://127.0.0.1:5500 跨域访问 https://www.imooc.com/api/http/jsonp?callback=handleResponse 成功。

CORS 跨域资源共享:

只需要后端设置 Access-Control-Allow-Origin(允许哪些域名来跨域请求它) 即可,前端不需要做什么。

IE9 及其以下版本不支持 CORS。
优先使用 CORS 跨域资源共享,如果浏览器不支持 CORS 的话,再使用 JSONP。

使用 CORS 跨域的过程:

  1. 浏览器发送请求。
  2. 后端在响应头中添加 Access-Control-Allow-Origin 头信息。
  3. 浏览器接收到请求。
  4. 如果是同域下的请求,浏览器不会额外做什么,这次通信就完成了。
  5. 如果是跨域请求,浏览器会从响应头中查找是否允许跨域。
  6. 如果允许跨域,这次通信完成。
  7. 如果没有找到或者不包含想要跨域的域名,就丢弃响应结果。

请添加图片描述

配置 Nginx 反向代理服务器:

通过 Nginx 配置一个反向代理服务器,客户端向反向代理发送请求,反向代理转发请求至目标服务器,最后把获得的内容返回给客户端。可以这么做的原因是同源策略是浏览器的安全策略,不是 HTTP 协议的一部分,所以服务器端调用 HTTP 接口就不存在跨域问题了。

配置 Nginx 反向代理服务器的缺点:使用反向代理访问网页相对于之前响应可能会比较慢。

在这里插入图片描述

Nginx 的使用方式:
  1. 去 Nginx 官网下载 Nginx 包搭建 Nginx 环境(https://www.nginx.com/)。
  2. nginx.conf 文件中修改相关配置。
  3. 修改网站中的请求接口的地址即可。
同源策略
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本和另一个的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
以及同源策略
Ethan024的博客
03-13 419
名分析: http:// www . xyz.com : 8080 / script/test.js 协议 子名 主名 端口 资源地址 当协议,主机(主名,子名),端口中的任意一个不相同时,成为不同。这种不同直接请求数据的操作,成为操作。 如何看是否在同一个: 主要看协议,名(主名和子名),端口。 例: http:// www.xyz.com: 8080/ script/test.js http:// www.xyz.c
可以的三个标签
weixin_30371875的博客
11-01 860
一,有三个标签允许加载资源: 1,<img src=xxx> 2,<link href=xxx> 3,<script src=xxx> 二,三个标签的场景 1,<img>用于打点统计,统计网站可能是其他 2,<link> <script>可以使用CDN,CDN的也会其他 3,<script>可...
m0_45272038的博客
02-20 298
文章目录一、产生原因二、几种主流解决方案1、通过服务端代理请求2、jsonp(针对get请求) 一、产生原因 浏览器的同源策略会出于安全考虑,限制JavaScript请求资源; 同源:浏览器的协议、名、端口号都相同就叫同源; 客户端请求服务器文件时,协议、名、端口号只要有一个不同就会产生问题; 二、几种主流解决方案 这里补充一个内容 json:轻量级数据格式 优点: 轻量级,体积小,节省流量,提高加载速度 解析成原生js对象,解析速度比XML快 查找数据无需查找标签,效率更高
解决:前后端请求
等什么君!的博客
05-04 1110
协议(http/https)、名(example.com)、端口(:8080)三者完全相同才视为同源。
js使用xhr发送原生ajax请求 | 服务端配置允许
の博客
05-25 975
【代码】js使用xhr发送原生ajax请求
通过script标签、ajax
热门推荐
engineer的博客
05-22 1万+
JSON(JavaScript Object Notation){javascript对象表示法}是一种数据交换格式;JSONP(JSON with Padding) 是一种可以绕过同源策略的方法,即通过使用json标记结合的方法。总的来说json就是一种数据格式,jsonp是一种非正式的数据交换协议。 上面提到了同源策略,什么是同源策略同源策略是由Netscape提出的的一个著名的安全策略
【Ajax】HTTP相关问题-XHR使用--同源-jsonp-CORS
weixin_43190804的博客
08-03 622
AJAX 全称为Asynchronous JavaScript And XML,就是异步的JS 和XML 通过AJAX 可以在浏览器中向服务器发送异步请求,最大的优势:**无刷新获取数据** AJAX 不是新的编程语言,而是一种将现有的标准组合在一起使用的新方式...............
-同源策略举例子
最新发布
05-21
### 关于同源策略的概念 #### 同源策略的定义 同源策略是一种约定,作为浏览器最核心和基本的安全功能之一。它规定只有当两个页面具有相同的协议(protocol)、主机(host)以及端口号(port)时才被认为是...
如何设置支持请求
SeptemberScorpio的博客
09-08 882
如何设置支持请求 现代浏览器出于安全的考虑,HTTP 请求时必须遵守同源策略,否则就是HTTP 请求,默认情况下是被禁止的,IP (名)不同或者端口不同、协议不同(比如HTTPHTTPS ) 都会造成问题。 一般前端的解决方案有: 1、用JSONP 来支持请求,JSONP 实现请求的原理简单的说,就是动态创建< script >标签,然后利用< script> 的SRC 不受同源策略约束来获取数据。缺点是需要后端配合输出特定的返回信息。 2、利用反向
script请求前端
u012197726的博客
08-13 1232
通过script标签实现 HTML 页面来个按钮 <button id="btn">点击请求数据</button> JS 调用发送请求 const btn = document.getElementById('btn') btn.onclick = function () { jsonp({ // 天气预报 url: 'https://wis.qq.com/weather/common', data: {
】 关于的一些知识整合
piano_diano的博客
04-29 807
· 同源 协议、名(IP)、端口相同即为同源 · 当浏览器从一个网站去访问另外一个非同源URL(当前网站的URL的协议、名、端口,任意一个不同)时,这样的动作,叫做 · 浏览器的同源策略 同源策略(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也最基本的安全功能,同源策略限制了从同一个源加载的文档或脚本如何来自另一个源的资源进行交互。简单点说,就是浏览器是不允许发起请求的。 · 同源策略解决的问题 1、防止恶意网站获取cookie去访问正规网站,发起C
前端如何解决问题(大概)
weixin_67271921的博客
04-26 538
【代码】前端如何解决问题(大概)
请求解决方案及详解
weixin_46178852的博客
07-28 6333
1. 什么是        ,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。        同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 (因为浏览器的同源策略导致了,就是浏览器在搞事情
什么是请求
weixin_57722696的博客
12-10 1458
请求(Cross-Origin Request)是指浏览器在一个(比如)下发起的请求,目标资源位于另一个(比如)的情况。由于浏览器的,它会限制网页只能访问当前页面同一源(、协议和端口)的资源。
什么是?前后端解决的方法
Amelian的博客
11-29 1658
一、同源策略 出于浏览器的同源策略限制 同源策略(Sameoriginpolicy) 是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会收到影响。可以说web时构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个的javascript脚本和另一个的内容进行交互。 所谓同源(即指在同一个),就是两个页面具有相同的协议(protool),主机(host)和端口号(port) 二、什么是 当一个请求url的协议、名、端口三者
请求是什么以及如何解决问题
常备不懈
03-20 2284
的本质是由浏览器的同源政策导致的一种网络请求限制。同源政策是浏览器的一项安全策略,旨在防止恶意网站读取或修改另一个网站的数据。根据同源政策,如果两个URL的协议、名和端口号都相同,则它们属于同一个源;否则,它们属于不同的源。 当一个网页试图通过XMLHttpRequest或Fetch API发起对不同源的HTTP请求时,浏览器会阻止这种请求,这就是请求请求的限制是为了保护用户免受站脚本攻击(XSS)和其他潜在的安全威胁。浏览器通过限制不同源之间的JavaScript脚本交互来实施这一政策
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值