跨域解释

同源策略

在说跨域之前,首先需要了解的一个概念就是”同源策略“

什么是源?

源=协议+域名+端口号。

如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。

我们可以通过window.originlocation.origin得到当前源。

https://wang.comhttps://ergou.com//不同源,域名不一致(记住:只有完全一模一样才算同源)http://wang.com/index.htmlhttp://wang.com/server.php//同源localhost 调用 127.0.1//不同源


什么是同源策略?


同源策略即:不同源之间的页面,不准互相访问数据。


浏览器规定:如果JS运行在源A里,那么就只能获取源A的数据,不能获取源B的数据,即不允许跨域。


假设 wang.com/index.html引用了ergou.com/1.js,那么就说1.js运行在源wang.com


注意,这和ergou.com没有关系,虽然1.js是从它那里下载的.


所以1.js就只能获取wang.com的数据,这就是浏览器的功能,浏览器就是故意这样设计的。


为什么会有同源策略?


之所以需要使用同源策略,就是为了保护用户的隐私。


以微信为例,源为 https://user.weixin.com,假设当前用户已经登录,并且AJAX请求 /friends.json 可以获取用户好友列表。


这个时候黑客来了,他把 https://user-winxin.com分享给你,实际上这是一个钓鱼网站,你点开这个网页,这个网页也请求你的好友列表https://user.weixin.com/friends.json。


请问,这个时候你的好友列表是不是就被黑客给偷走了?


问题的根源


之所以会出现这个问题,其根源就在于无法区分发送者


微信里面的JS和黑客的JS发送到请求几乎没有区别(referer区别)


但是如果后台的开发者没有检查 referer,那么就完全没有区别。


所以,如果没有同源策略,任何页面都能偷走微信里面的数据,甚至是支付宝里面的余额。


安全原则


有的小伙伴可能会问,既然referer有区别,那检查referer不就好了?


安全原则:安全链条上的强度取决于安全链条上最弱的一环。


同时,万一这个网站的后端开发者是一个傻叉呢?


所以浏览器应该主动预防这种偷数据的行为。


总之,为了保护用户的隐私,浏览器设置了严格的同源策略。


如果浏览器不限制跨域,一定是这个浏览器出现了bug


跨域


什么是跨域?


跨域,即浏览器试图执行其他网站的脚本。但是由于同源策略的限制,导致我们无法实现跨域。


关于跨域的几个问题


为什么a.wang.com访问wang.com也算跨域?


因为历史上,出现过不同的公司共用域名,a.wang.comwang.com不一定是同一个网站,浏览器谨慎起见,认为这是不同的源。


为什么不同端口也算跨域?


原因同上,一个端口一个公司的情况也不是没有的。


记住:安全链条的强度取决于最弱的一环,所有和安全相关的问题都要谨慎对待。


为什么两个网站的IP一样,也算跨域?


原因同上,因为IP也是可以共用的。


为什么可以跨域使用CSSJS和图片等?


同源策略限制的是数据访问,我们引用CSSJS和图片的时候,其实并不知道其内容,我们只是在引用。


CORS跨域


什么是CORS?


CORS的全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。


如何理解CORS?


如果wang.comergou.com这两个网站都是我的,我就是想让wang.com去访问ergou.com里面的数据应该怎么办呢?


只需要wang.com在响应头里写ergou.com可以访问即可。这就是CORS


实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。


 


两种请求


CORS跨域分为两种请求,一种是简单请求,另外一种就是复杂请求


 


简单请求


只要满足以下条件的就是简单请求:


    

  • 请求方式为HEADPOST 或者 GET
    • 

  • http头信息不超出以下字段:AcceptAccept-Language 、 Content-Language、 Last-Event-ID、 Content-Type(限于三个值:application/x-www-form-urlencodedmultipart/form-datatext/plain)
    • 



简单请求的实现具体来说就是在信息头中加入一个Origin字段:


GET /cors HTTP/1.1Origin: http://wang.comHost: api.ergou.comAccept-Language: en-USConnection: keep-aliveUser-Agent: Mozilla/5.0...


Origin的作用就是用来说明本次请求来自哪个源,服务器会根据Origin的值来判断是否接受本次请求。


如果Origin所表示的源不被服务器接受,即浏览器发现回应的信息头中没有Access-Control-Allow-Origin字段,就会自动抛出一个错误。


注意:这种错误是无法通过状态码识别的,这也是通过CORS实现跨域请求的一个弊端。


如果Origin所表示的源被服务器端所接受,那么服务器就会返回如下响应:


Access-Control-Allow-Origin: http://api.ergou.comAccess-Control-Allow-Credentials: trueAccess-Control-Expose-Headers: FooBarContent-Type: text/html; charset=utf-8


    

  • Access-Control-Allow-Origin :该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求
    • 

  • Access-Control-Allow-Credentials: 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。(注意:如果要发送cookie,不仅要进行上述的设置,还要在AJAX请求中设置withCredentials属性)
    • 

  • Access-Control-Expose-Headers:该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
    • 



复杂请求


所谓复杂请求,即不满足上述条件的请求就是复杂请求。


比如请求的方法是PUTDELETE,或者Content-Type字段的类型是application/json


复杂请求首先会发起一个预检请求,该请求是 option 方法的,通过该请求来知道服务端是否允许跨域请求。


var url = ‘http://api.wang.com/cors‘;var xhr = new XMLHttpRequest();xhr.open(‘PUT‘, url, true);xhr.setRequestHeader(‘X-Custom-Header‘, ‘value‘);xhr.send();


上面的请求就是一个复杂请求,当浏览器发现这是一个复杂请求之后,就会主动发出一个预检请求,询问服务器是否允许本次请求。


服务器收到预检请求之后,检查了OriginAccess-Control-Request-MethodAccess-Control-Request-Headers字段以后,确认允许跨源请求,才会做出相应的回应。


Access-Control-Allow-Origin: http://api.wang.comContent-Type: text/html; charset=utf-8


CORS存在的问题


不支持IE8/9,如果要在IE8/9使用CORS跨域需要使用XDomainRequest对象来支持CORS


JSONP跨域


什么是JSONP?


我们在跨域的时候由于当前的浏览器不支持 CORS 或者因为某些条件不支持CORS,我们必须使用另外一种方式来跨域,于是我们就请求一个 JS 文件,这个JS 文件会执行一个回调,回调里面就有我们需要的数据。


let script = document.createElement(‘script‘);script.src = ‘http://www.wang.cn/login?username=wang&callback=callback‘;document.body.appendChild(script);function callback(res) {  console.log(res);}




回调函数的名字是什么?


回调的名字是可以随机生成的的一个随机数,我们把这个名字当成 callback 的参数传给后台,后台会把这个函数再次返回给我们并执行


JSONP跨域优点


    

  • 兼容ie
    • 

  • 可以跨域
    • 



JSONP跨域缺点


    

  • 由于是 script 标签,所以读不到 ajax 那么精确的状态,不知道状态码是什么,也不知道响应头是什么,它只知道成功和失败。
    • 

  • 不支持post(因为是 script 标签,所以只支持 get 请求)
    • 




原文地址:https://www.cnblogs.com/tongshuangxiong/p/12582359.html
				


				
时间: 2024-10-15 07:05:33 

		


		


	

	
	

		


		
跨域解释的相关文章


								

		

			

                跨域请求的常用方式及解释
			

		

		

									

				同源策略 首先基于安全的原因,浏览器是存在同源策略这个机制的,同源策略阻止从一个域加载的脚本去获取另一个域上的文档属性.也就是说,受到请求的 URL 的域必须与当前 Web 页面的域相同.这意味着浏览器隔离来自不同源的内容,以防止它们之间的操作. js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据. 只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下面介绍几种常用的跨域请求方式 默认端口			

		

	

				

		

			

                针对ArcGIS Server 跨域问题的解释
			

		

		

									

				XMLHttpRequest cannot load http://server/arcgis/rest/info?f=json. Origin http://localhost:8080 is not allowed by Access-Control-Allow-Origin Leave a reply 在博客Hello World文章中提起过,以前在sinaapp中建立过wordpress博客,也写过一篇关于ArcGIS JavaScript API的文章,但是由于sinaapp开始收费以			

		

	

				

		

			

                什么是跨域,什么是同源
			

		

		

									

				所谓跨域 1.就是跨域名,跨端口,跨协议      例如:如果有两个服务器,服务器A和服务器B,服务器A上存储了php数据,script,甚至是css这些文件,而你在服务器B上只写了html,然后你所在的服务器B上动态创建script,css,php数据(使用ajax请求),向服务器A上请求你想要的script,css,php数请求据(使用ajax)这些文件,请求这些文件后,你再在服务器B上运行你的html,虽然你的地址是在服务器B上,但是你还是可以运行效果与在服务器A上运行的效果是一样的,这样			

		

	

				

		

			

                前端跨域访问
			

		

		

									

				1. JSONP 2. CORS(Cross-origin resource sharing) 2.1 运行模式 2.2 JQuery支持CORS 2.3 与JSONP相比 3. 跨域访问在点评的应用 References 在互联网应用中: 一个页面需要请求多个域名下的web服务端接口 同时一个web服务接口可能会被很多不同域名下的页面请求. 一个web应用如果支持为了支持以上模式而申请多个域名是不合算的,因为域名申请和管理所占用的资源比较大,因此服务端支持跨域就成了一个更合理的解决方案.解决跨			

		

	

				

		

			

                快速入门各种跨域
			

		

		

									

				前言因为学习跨域需要配置本地服务器,可能会比较麻烦,所以自己根据网上的博客写了大多数跨域的简单demo,可以自己在`本地运行`,而且`不用配置服务器`.自己对于跨域的理解刚开始也仅仅在于网上的博客文章,通过写这些可以本地运行的demo让我对跨域有了更直面的理解,希望这些demo对你们有帮助,有错误的话欢迎指正,欢迎PR. github地址: https://github.com/FatDong1/cross-domain 多种跨域demo CROS跨域 JSONP跨域 postMessage跨域			

		

	

				

		

			

                Vue---vue-cli 中的proxyTable解决开发环境中的跨域问题
			

		

		

									

				使用vue+vue-cli+axios+element-ui开发后台管理系统时,遇到一个问题,后台给了一个接口,我这边用axios请求数据,控制台总是报405错误和跨域错误 错误 405? 没见过!! 查了一下资料, 错误405表示--用来访问本页面的HTTP谓词不被允许,谓词指的就是GET.POST 和 HEAD等.说白了就是请求的方法不被允许!可是,我是完全按照后台给的接口文档写的啊 this.$http({ method: 'POST', url: 'auth/login', data:			

		

	

				

		

			

                跨域学习笔记1--跨域调用webapi
			

		

		

									

				在做Web开发中,常常会遇到跨域的问题,到目前为止,已经有非常多的跨域解决方案. 通过自己的研究以及在网上看了一些大神的博客,写了一个Demo 首先新建一个webapi的程序,如下图所示: 由于微软已经给我们搭建好了webapi的环境,所以我们不必去添加引用一些dll,直接开始写代码吧. 因为这只是做一个简单的Demo,并没有连接数据库. 第一步我们要在Models文件夹里添加一个实体类Employees,用来存放数据. Employees.cs里的内容如下: 1 using System; 2			

		

	

				

		

			

                跨域概念
			

		

		

									

				域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation).信任关系是连接在域与域之间的桥梁.当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理. 有一种简明的说法来解释广域跨域:跨域访问,简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容.由于安全原因,跨域访问是被各大浏览器所默认禁止的.在			

		

	

				

		

			

                js实现跨域(jsonp, iframe+window.name, iframe+window.domain, iframe+window.postMessage)
			

		

		

									

				一.浏览器同源策略 首先我们需要了解一下浏览器的同源策略,关于同源策略可以仔细看看知乎上的一个解释.传送门 总之:同协议,domain(或ip),同端口视为同一个域,一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源.这种安全限制称为同源策略. ( 现代浏览器在安全性和可用性之间选择了一个平衡点.在遵循同源策略的基础上,选择性地为同源策略"开放了后门". 例如img script style等标签,都允许垮域引用资源.) 下表给出了相对