2. 程式人生 > >同源策略、跨域解決方案

同源策略、跨域解決方案

阿新 發佈:2018-06-02
color 動態 一個 cati req 回調函數 IV 解決方案 參數傳遞

一、定義

1、什麽是源
? 源(origin)就是協議、域名和端口號。
以上url中的源就是:http://www.company.com:80
若地址裏面的協議、域名和端口號均相同則屬於同源。
以下是相對於 http://www.a.com/test/index.html 的同源檢測
? http://www.a.com/dir/page.html ----成功
? http://www.child.a.com/test/index.html ----失敗,域名不同
? https://www.a.com/test/index.html ----失敗,協議不同
? http://www.a.com:8080/test/index.html ----失敗,端口號不同

2.什麽是同源策略?
同源策略是瀏覽器的一個安全功能,不同源的客戶端腳本在沒有明確授權的情況下,不能讀寫對方資源。所以a.com下的js腳本采用ajax讀取b.com裏面的文件數據是會報錯的。

? 不受同源策略限制的:
1、頁面中的鏈接,重定向以及表單提交是不會受到同源策略限制的。
2、跨域資源的引入是可以的。但是js不能讀寫加載的內容。如嵌入到頁面中的<script src="..."></script>,<img>,<link>,<iframe>等。

二、跨域
1、什麽是跨域
受前面所講的瀏覽器同源策略的影響,不是同源的腳本不能操作其他源下面的對象。想要操作另一個源下的對象是就需要跨域。

2、跨域的實現形式
? 降域 document.domain
同源策略認為域和子域屬於不同的域,如:
child1.a.com 與 a.com,
child1.a.com 與 child2.a.com,
xxx.child1.a.com 與 child1.a.com
兩兩不同源,可以通過設置 document.damain=‘a.com‘,瀏覽器就會認為它們都是同一個源。想要實現以上任意兩個頁面之間的通信,兩個頁面必須都設置documen.damain=‘a.com‘。
此方式的特點:
1. 只能在父域名與子域名之間使用,且將 xxx.child1.a.com域名設置為a.com後,不能再設置成child1.a.com。
2. 存在安全性問題,當一個站點被攻擊後,另一個站點會引起安全漏洞。
3. 這種方法只適用於 Cookie 和 iframe 窗口。

JSONP跨域
JSONP和JSON並沒有什麽關系!
JSONP的原理:(舉例:a.com/jsonp.html想得到b.com/main.js中的數據)在a.com的jsonp.html裏創建一個回調函數xxx,動態添加<script>元素,向服務器發送請求,請求地址後面加上查詢字符串,通過callback參數指定回調函數的名字。請求地址為http://b.com/main.js?callback=xxx。在main.js中調用這個回調函數xxx,並且以JSON數據形式作為參數傳遞,完成回調。

我們來看看代碼:

function addScriptTag(src) { 
?    var script = document.createElement(script); 
?    script.setAttribute("type","text/javascript"); 
?    script.src = src; 
?    document.body.appendChild(script);
?    }
?    window.onload = function () { 
?    addScriptTag(http://b.com/main.js?callback=foo);
?    } //window.onload是為了讓頁面加載完成後再執行
?    function foo(data) { 
?    console.log(data.name+"歡迎您");
?    };

//b.com/main.js中的代碼

foo({name:"hl"})

這樣便實現了跨域的參數傳遞。

采用jsonp跨域也存在問題:
1. 使用這種方法,只要是個網站都可以拿到b.com裏的數據,存在安全性問題。需要網站雙方商議基礎token的身份驗證,這裏不詳述。
2. 只能是GET,不能POST。
3. 可能被註入惡意代碼,篡改頁面內容,可以采用字符串過濾來規避此問題。

CORS
CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。
它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。
剛才的例子中,在b.com裏面添加響應頭聲明允許a.com的訪問,代碼:
Access-Control-Allow-Origin: http://a.com
然後a.com就可以用ajax獲取b.com裏的數據了。
註意:此方法IE8以下完全不支持,IE8-10部分支持。詳見caniuse-CORS
詳細內容請參考:跨域資源共享 CORS 詳解

? 其它方法
1. HTML5的postMessage方法
2. window.name
3. location.hash

同源策略、跨域解決方案

相關推薦

同源策略解決方案

color 動態 一個 cati req 回調函數 IV 解決方案 參數傳遞 一、定義 1、什麽是源? 源(origin)就是協議、域名和端口號。以上url中的源就是:http://www.company.com:80若地址裏面的協議、域名和端口號均相同則屬於同源。以下是相

網頁中的請求 同源策略解決方案

  品習知識點 簡單表述幾個概念,詳解@度娘。 1、同源策略,瀏覽器最核心的安全功能,在無授權情況下,只允許讀寫相同源的資源。其中源(Origin)指的是協議、域名、介面,同源即三者相同。 2、預檢請求,瀏覽器出於安全策略,在跨域請求資料時候預先發起請求,以知是否可跨域請求資料的請求。 關

同源策略解決方案

限制 out ole cors cti type com baidu pip 跨域 由於同源策略導致的不同源網站間頁面腳本無法互相訪問。 同源策略 出於安全性考慮,一個網站的腳本不能訪問另一個網站的請求。除非它們的協議號,域名,端口號相同。 防跨域 同源策略條件過於嚴苛,很

Django - - 同源策略解決方案

url link 交互 功能 出了 tex 鏈接 不能 header 目錄 同源策略 一個源的定義 同源策略是什麽 舉個例子 jQuery中getJSON方法 JSONP應用 1, 同源策略 1.1 一個源的定義 如果兩個頁面的協議,端口(如果有指定)和域名都

django中同源策略解決方案

一  同源策略 1.1何謂同源? 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。 舉個例子: 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例:  1.2什麼是同源策略? 同源策略是瀏覽

同源策略解決方案

本文將介紹兩種重要的ajax跨域解決方案(jsonp、CORS),在網上看了這麼多有關同源策略的介紹,感覺都說得不是很清楚,都只是提到了一部分,站在巨人的肩膀上我簡單總結所謂的 “同源策略” 同源策略

瀏覽器問題 瀏覽器的同源策略解決方案

瀏覽器的同源策略及跨域解決方案   同源策略 一個源的定義 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。 舉個例子: 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例: 

瀏覽器的同源策略解決方案

同源策略 一個源的定義 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。 舉個例子: 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例:  URL 結果 原因 http

同源策略json和jsonp

open 是把 tro 兩個 屬性 ont type cti 結果 同源策略 源(origin)就是協議、域名和端口號。若地址裏面的協議、域名和端口號均相同則屬於同源。 以下是相對於 http://www.a.com/test/index.html 的同源檢測  ? htt

瀏覽器同源策略,及解決方案

ebo 同名 () hash 站點 題解 先來 說了 是否 一、Origin(源) 源由下面三個部分組成: 域名 端口 協議 兩個 URL ,只有這三個都相同的情況下,才可以稱為同源。 下來就以 "http://www.example.com/page.html" 這個

瀏覽器的同源策略及CORS解決方案 DRF

一個源的定義 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。 舉個例子: 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例:  URL 結果 原因 http://a.x

【PHP】Ajax解決方案 jsonpcors

code col 服務器 實現 官方 跨域傳輸 ref 響應 非官方 參考文章: 1、https://blog.csdn.net/u014727260/article/details/72793459 (後臺java,實際上差不多) 2、 如何解決ajax跨域傳輸 數據的問

javascript同源策略實驗及其解決辦法

二、問題分析: 應用A採用域名http://trade.alibaba.com ,應用B採用的域名 http://56.alibaba.com。屬於相同主域下的不同子域。牽涉出跨域是否能操作其他文件三、問題延伸: 瞭解跨域,我們先了解一下javascript的同源策略,同源策略阻止從一個源載入的文件或指令

第二百七十四節,同源策略訪問

ron 使用 outlook 是否 secure .com 相對 100% wid 同源策略和跨域訪問 什麽是同源策略 盡管瀏覽器的安全措施多種多樣,但是要想黑掉一個Web應用,只要在瀏覽器的多種安全措施中找到某種措施的一個漏洞或者繞過一種安全措施的方法即可。瀏覽器

JSON解決方案收集

get ogl obb 本地 allow con mesa 跨域請求 loader 最近面試問的挺多的一個問題,就是JavaScript的跨域問題。在這裏,對跨域的一些方法做個總結。由於瀏覽器的同源策略,不同域名、不同端口、不同協議都會構成跨域;但在實際的業務中,很多

前端如何去做解決方案

時也 for 前後端 define 影響 list nts 告訴 iframe 前言 那些你,你常用的跨域解決方案除了jsonp 之外,還有其他的嗎?今日早讀文章可以告訴你,本文由 金蝶 @scq000授權分享。 正文從這開始~ 瀏覽器在請求不同域的資源時,會因為同源策略的

前端常見解決方案(全)

-type crm api war str bsp 斷開 jquery 數據塊 什麽是跨域? 跨域是指一個域下的文檔或腳本試圖去請求另一個域下的資源,這裏跨域是廣義的。 廣義的跨域: 1.) 資源跳轉: A鏈接、重定向、表單提交 2.) 資源嵌入: <link

前端常見解決方案

自定義 兩個 ech cors onload 消息 strong put 普通 什麽是跨域? 跨域是指一個域下的文檔或腳本試圖去請求另一個域下的資源,這裏跨域是廣義的。 廣義的跨域: 1.) 資源跳轉: A鏈接、重定向、表單提交 2.) 資源嵌入:<lin

Ajax--同源策略,jsonp傳輸

href 需要 lan 其他 target 引入 處理 www tle 什麽是同源策略? 阮一峰的博客 同源策略 同源策略的解決方法: 跨域傳輸 img 標簽的src是可以引入其他域名下的圖片 script標簽的src屬性同理 ,也可以引入其他域名

spring mvc的解決方案

增加 是否 strac inf oss ref nds sso option 什麽是跨域 一句話:同一個ip、同一個網絡協議、同一個端口,三者都滿足就是同一個域,否則就是跨域。 為什麽非得跨域 基於兩個方面: a. web應用本身是部署在不同的服務器上 b.基於開發的角度