瀏覽器跨域問題分析

来源:https://www.cnblogs.com/windcat/archive/2020/03/25/12569552.html

瀏覽器的同源策略:協議相同、功能變數名稱相同、埠相同。所有瀏覽器廠商遵循這種策略。 非同源(跨域)共有三種行為受到限制: cookie、localstorage、和IndexDB無法獲取 DOM無法獲取 ATAX請求不能發送 這種同源性會有效的阻止CSRF(跨站請求)攻擊。 瀏覽器請求分為兩種:(CORS ...


瀏覽器的同源策略:協議相同功能變數名稱相同埠相同。所有瀏覽器廠商遵循這種策略。

非同源(跨域)共有三種行為受到限制:

  1. cookie、localstorage、和IndexDB無法獲取
  2. DOM無法獲取
  3. ATAX請求不能發送

這種同源性會有效的阻止CSRF(跨站請求)攻擊。

瀏覽器請求分為兩種:(CORS請求)

  1. 簡單請求:只要滿足一下方式中的兩種,視為簡單
  • 請求方式是GET、POST、HEAD
  • HTTP請求頭不超過如下欄位:   ACCEPT、ACCEPT-LANGUAGE、Last-Event-ID、Content-langage、content-type
  • 請求中的任意XHR對象均沒有註冊事件反射器
  • XHR對象可以使用XHR.upload屬性訪問,請求中沒有使用ReadableStream對象

    對於簡單請求瀏覽器會直接發送請求,伺服器返迴響應給瀏覽器,併在響應體中攜帶相關信息供瀏覽器判斷是否跨站

  2. 非簡單請求

    例如PUT、DELETE、CONTENT-TYPE:aplication/Json

    非簡單請求會在正式通信之前,使用options方法發起一個預檢請求到伺服器,瀏覽器先詢問伺服器當前網頁所在的功能變數名稱是否在伺服器的許可名單中,以及可以使用那些HTTP方法和頭信息欄位,只有得到肯定答覆,瀏覽器才會發出正式的XHR請求,否則報錯。

 

跨域手段

  1. AJAX請求跨域

    由瀏覽器和伺服器根據HTTP頭域或Access-control開頭相關欄位協商處理

  2. JSONP跨域

    利用script或img等標簽能夠跨域載入來實現,瀏覽器通過GET方法載入這些標簽(業務對於一些重要的請求,不能夠使用get方法提交數據,必須使用post方法,這樣就無法利用JSONP進行跨域請求)

  3. 伺服器轉發

 


您的分享是我們最大的動力!

更多相關文章
  • 經常提到資料庫的事務,那你知道資料庫還有事務隔離的說法嗎,事務隔離還有隔離級別,那什麼是事務隔離,隔離級別又是什麼呢?本文就幫大家梳理一下。 MySQL 事務 本文所說的 MySQL 事務都是指在 InnoDB 引擎下,MyISAM 引擎是不支持事務的。 資料庫事務指的是一組數據操作,事務內的操作要 ...
  • 不適配深色模式 直接在info新加一個欄位 設置值為 適配深色模式 適配深色模式info裡面的那個欄位就不用添加了 但是需要在每個 裡面增加下麵的這個方法 在這個方法里去判斷和更改當前界面所有元素的顏色 我專門做了一個單例,把應用程式中的所有顏色都單獨保存起來 還有兩個方法,分別是把所有的顏色改成與 ...
  • 1.win10安裝ubuntu 18.04或Ubuntu發行版 搜索:Microsoft Store >搜索:Ubuntu //下載即可 >下載完之後安裝,啟動即可. 搜索:ubuntu啟動即可. 註意:源最好不要替換 2.安裝所需的庫 安裝emacs的cscope + autocomplete需要 ...
  • 本文旨在成為iOS動畫的入門讀物,目的是詳盡地介紹不同的實現方法。 鑒於該主題的廣泛性,我們將在相當高的層次上簡潔地涵蓋每個部分。這樣做的目的是通過一組選項來教育讀者將動畫添加到他/她的iOS應用程式中。 在我們開始討論與IOS相關的主題之前,讓我們先簡單地看一看動畫的速度。 60 Fps動畫 通常 ...
  • 商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。 For commercial use, please contact the author for authorization. For non commercial use, please indicate the source. 協議(Lice ...
  • 結合擴展運算符使用 function foo(a,b,c){ console.log(a,b,c); } foo(...[1,2,3]);//將數組展開,一一對應 用法: const arr=["cyy",18,["html","css"]]; function info(name,age,hobb ...
  • //ES5 對象 const getInfo=(id=1)=>{ //ajax... const name="cyy"; const age=18; return { name:name, age:age, say:function(){ console.log(this.name+this.age ...
一周排行
  • 背景 習慣使用markdown的人應該都知道Typora這個神器,它非常簡潔高效。雖然博客園的線上markdown編輯器也不錯,但畢竟是網頁版,每次寫東西需要登錄系統-進後臺-找到文章-編輯-保存草稿。。。非常難受。。。 但是使用Typora來寫的話,文章圖片又是個問題,本地寫完粘貼到網站上,圖片全 ...
  • 案例:修改預設線程個數 1.NameValueCollection System.Collections.Specialized.NameValueCollection collection = new System.Collections.Specialized.NameValueCollecti ...
  • // from https://stackoverflow.com/questions/35381238/how-to-use-custom-fonts-in-emgucv string text = "塗聚文(Geovin Du)"; // 下麵定義一個矩形區域 int rectWidth = t ...
  • 場景 ASP.NET中新建Web網站並部署到IIS上(詳細圖文教程): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/107199747 前面講過將ASP.NET的項目部署到本機的IIS上。 但是如果將其部署到伺服器上Window ...
  • 在不同的區域中使用Convert.ToDouble可能會產生問題。 string str = "20.0"; double val = Convert.ToDouble(str); 比如在某些區域語言中得到的結果是200,如: Thread.CurrentThread.CurrentCulture ...
  • 1、前言 ​ 不知道你是否對.NET裡面的定時器產生過一些疑問,以下是武小棧個人的一些總結。 2、官方介紹 在.NET的框架之內定時器有四種,先看一下微軟官方對他們各自特點介紹: System.Timers.Timer,它將觸發事件,並定期在一個或多個事件接收器中執行代碼。 類旨在用作多線程環境中基 ...
  • 筆試考試系統需求分析 1. 引言 1.1編寫目的 項目需求分析目的是使用戶和軟體開發者雙方對項目開發目標有一個共同的理解,便於對軟體開發各個過程的控制與管理,通過對項目開發目標的描述,使開發人員能夠正確理解用戶需求,明確該系統應具有的功能。性能與界面要求。 需求分析作為項目開放的基礎和依據,其預期讀 ...
  • 使用Topshelf部署.net core windows服務 首先新建一個.net core的模板worker程式 過程 略 打開Program.cs namespace TopshelfDemo { public class Program { public static void Main(s ...
  • xaml裡面使用很簡單 xmlns:i="http://schemas.microsoft.com/xaml/behaviors" <i:Interaction.Behaviors> <i:MouseDragElementBehavior/> </i:Interaction.Behaviors> 後 ...
  • Application Insignhts是微軟開發的一套監控程式。他可以對線上的應用程式進行全方位的監控,比如監控每秒的請求數,失敗的請求,追蹤異常,對每個請求進行監控,從http的耗時,到SQL查詢的耗時,完完整整的被記錄下來。當對程式進行優化跟排錯時非常好使。它原來是visualstudio ...