同源策略和跨域

最新推荐文章于 2025-07-04 21:18:06 发布
最新推荐文章于 2025-07-04 21:18:06 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端 文章标签: 跨域 后端 ajax jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xi15232131135/article/details/84860735

一、同源介绍

同源策略:限制从同一个源加载的文档或脚本与另一个源的资源进行交互。是用于隔离潜在恶意文件的重要机制。
注意:重要:不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。
浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行

1.怎么算是同源

如下的访问方式:
在这里插入图片描述

2.如果没有同源策略的危险场景

没有同源策略的接口请求:

当你进行了接口请求的时候,服务器验证之后会在响应头set-cookie字段,下次再发起请求的时候,浏览器自动将cookie附加在Http请求头字段cookie中,就可以验证登录过。
当我们登录一个网站的时候,收到一个其他网站的链接,点击进入这个其他网站时候,如果没有同源策略的话,这个其他网站的就可以在无需登录的情况下进入你之前的网站,可以加载之前的资源。

没有同源策略的Dom查询:

可以通过获取不同源网站dom,比如你输入密码的input标签的内容,这样就可以轻松拿到用户名和密码,这样就有点太危险了吧!

二、跨域解决方案

1.用有src属性的标签都可以跨域,比如

可以添加< script src>来进行跨域访问使后端服务添加一个回调函数,需要前后端共同处理。

2.jquery 的jsonp类型

12                 $.ajax({
13                     url: "http://localhost:9090/student",
14                     type: "GET",
15                     dataType: "jsonp", //指定服务器返回的数据类型
16                     success: function (data) {
17                         var result = JSON.stringify(data); //json对象转成字符串
18                         $("#text").val(result);
19                     }
20                 });

jsonp 指定服务器返回的数据类型为jsonp类型,自动带一个callback=xxx,xxx是jquery随机生成的一个回调函数。支持get方法

3.CROS

并不是浏览器限制了发起跨站请求,可能是跨站请求可以正常发起,只会返回结果被浏览器拦截了,加了如下的Filter就可以了。

public class CrossDomainFilter implements Filter {
    public CrossDomainFilter() {
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse)res;
        response.setHeader("Access-Control-Allow-Origin", "*");//主要这个*
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, souche-security-token-inc, Souche-Security-Token");
        chain.doFilter(req, res);
    }

    public void init(FilterConfig filterConfig) {
    }

    public void destroy() {
    }
}

同时在web.xml中加上如下

 <filter>
    	<filter-name>crossDomain</filter-name>
    	<filter-class>com.souche.optimus.core.interceptor.CrossDomainFilter</filter-class>
    </filter>
    
    <filter-mapping>
    	<filter-name>crossDomain</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>
Axios、同源策略JSONP
不明真相的末影人
06-01 669
Axios基本概念 Axios 是专注于网络数据请求的库。 相比于原生的 XMLHttpRequest 对象,axios 简单易用。 相比于 jQuery,axios 更加轻量化,只专注于网络数据请求。 axios的基本使用方式 发起get请求: axios.get(请求地址,{params: 参数}).then(function (res) {}); 发起post请求: axios.post(请求地址,{data: 参数}).then(function (res) {}); axios.post(请求地
/解决方法
song854601134的博客
12-19 4421
首先编写一个过滤器,可以起名字为MyCorsFilter.java} }.} }.} }.} }.} }.} }.} }.} }.} }.} }.} }.
网安系列【2】之深入理解同源策略
最新发布
缘友一世的博客
07-04 675
深入理解前端web同源策略
同源策略-总结
u010790621的博客
12-17 509
1.同源策略 2. 3.几种技术 - JSONP, CORS
同源策略的解决方案
失眠时间的博客
05-12 3580
总所周知,同源策略是导致的原因,那么什么是同源策略,又可以如何解决的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
同源策略解决方案.docx
10-26
同源策略解决方案 同源策略是浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这...
同源策略&
m0_67841039的博客
04-21 2992
了解同源策略& 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是 同源指的是两个 URL 的协议
浏览器同源策略的实现方法
热门推荐
谢公子的博客
10-03 1万+
目录 同源策略 资源共享(CORS) 的实现方法 1、降 document.domain 2、JSONP 3、CORS 同源策略 同源策略(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 ...
同源策略解决方案
Trifling_的博客
10-02 2449
在网上看了这么多有关同源策略的介绍,感觉都说得不是很清楚,都只是提到了一部分,站在巨人的肩膀上我简单总结所谓的 “同源策略同源策略: 就是为了保证数据安全的一个实现方法,不允许访问数。                 本质:在发起http请求的时候浏览器并没有做任何的同源策略限制(只是请求头部不会带当前cookie),也就是它能向任何发起http请求,浏览器是在后台返回数据的时候
同源策略解决方案
weixin_30348519的博客
08-22 320
同源策略解决方案 同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 ht...
-------------同源策略
江木
06-01 332
在前端开发中,经常遇到""的问题,以下的文章将探讨一下为什么会有""问题的出现,所谓的"同源策略"同源策略1995 年由 Netscape 公司提出,之后被其他浏览器厂商采纳。同源策略只是一个规范,并没有指定其具体的使用范围实现方式,各个浏览器厂商都针对同源策略做了自己的实现。一些 web 技术都默认采取了同源策略,这些技术范围包括但不限于Silverlight, Adobe Flas...
同源策略
nilmao的博客
03-21 8273
问题涉及到WEB网页安全性问题,使用不当会造成用户隐私泄露风险,但有时业务上又需要进行请求。如何正确的使用功能,既能满足业务需求,又能够满足安全性要求,显得尤为重要。 1.1.同源策略 协议相同 名相同 端口相同 同源策略限制内容有: Cookie、LocalStorage、IndexedDB 等存储性内容 DOM 节点 AJAX 请求发送后,结果被浏览器拦截了 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 1.2.为什么要有限制 Ajax 的同源策
同源策略是什么?是什么?怎么解决
When you can't win by being better, you can win by being different.
03-04 718
,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。协议、名、端口号都相同才是同一个。只要有一个不同,就算。需要注意的是:主名相同,子名不同也算,例如:email.qq.com zone.qq.com 就属于主相同,子不同,也算是
同源策略请求
m0_46487113的博客
07-31 295
同源策略请求 同源策略 我们与服务器之间通信的三要素:ip, 通讯协议,端口。即名,协议,端口 如果我们服务器之间通信,这三个要素都相同,那就是同源,如果其中一个不相同,那就是非同源。 这是浏览器的一种安全协议,是为了保护本地数据不被JavaScript代码获取回来的数据污染 请求 什么是请求: 即名,协议,端口其中有一个不相同就是请求 只有在同源的情况下,发送AJax请求才能获得请求的数据,非同源的请求都会受到同源策略影响。 这里说的请求是XMLhttpreques
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值