跨域问题分析以及解决方案

原创 已于 2024-07-29 09:46:00 修改 · 994 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#跨域 #网络安全
于 2024-07-29 09:35:31 首次发布

1 浏览器的同源策略

  • 浏览器为确保资源安全,而遵循的一种策略。

2 什么是源

  • 源 = 协议 + 域名 + 端口号
  • 同源与非同源
    • 源1源2是否同源
      http://www.xyz.com/homehtts://www.xyz.com/home非同源
      http://www.xyz.com/homehttp://mail.xyz.com/home非同源
      http://www.xyz.com:8080/homehttp://www.xyz.com:8090/home非同源
      http://www.xyz.com:8080/homehttp://www.xyz.com:8080/search同源
  • 所处源与目标源不一致,就是非同源,又称跨域。

3 浏览器对跨域访问的限制

  • 如果源A和源B,是非同源的,浏览器会有如下限制
  • DOM访问限制: 源A的脚本不能读取和操作源B的DOM
  • Cookue访问限制:源A不能访问源B的cookie
  • Ajax响应数据限制:源A可以给源B发请求,但是无法获取源B响应的数据
  • 浏览器对Aiax获取数据的限制是影响最大的一个,且实际开发中经常遇到
  • 跨域限制仅存在浏览器端,服务端不存在跨域限制

4 Ajax响应数据限制演示

  • 示意图

    • 请添加图片描述

  • 这里借助nginx演示下

    • 修改index.html内容如下 
      •   <!DOCTYPE html>
  <html>
      <head>
          <meta charset="UTF-8">
          <title>跨域访问</title>
      </head>
      <body>
          <button onclick="getNews()">获取新闻</button>
          <script type="text/javascript">
              async function getNews(){
                  const myurl = "https://www.toutiao.com/hot-event/hot-board/?origin=toutiao_pc"
                  let result = await fetch(myurl)
                  let data = await result.json()
                  console.log(data)
              }
          </script>
      </body>
  </html>

  • 在谷歌浏览器中访问,可以看到报错了

    • 在这里插入图片描述

  • 我们所处的源为 http://192.168.206.146,访问的目标源 https://www.toutiao.com,为跨域访问,因此无法获取响应数据。

5 CORS解决Ajax跨域问题

CORS简介

  • CORS全称:Cross-Origin Resource Sharing(跨域资源共享),是用于控制浏览器校验跨域请求的一套规范,服务器依照CORS规范,添加特定响应头来控制浏览器校验,规则如下
    • 服务器明确表示拒绝跨域请求,或没有表示,则浏览器校验不通过
    • 服务器明确表示允许跨域请求,则浏览器校验通过

简单请求与复杂请求

  • CORS会把请求分为两类:简单请求和复杂请求。
  • 简单请求
    • 请求方法为GET、POST、HEAD
    • 请求头字段符合《CORS安全规范》。只要不手动修改请求头,一般都能符合该规范
    • 请求头的 Content-Type只能是以下三种
      • text/plain
      • multipart/form-data
      • application/x-www-form-urlencoded
  • 复杂请求
    • 不符合简单请求的要求,就都是复杂请求
    • 复杂请求会自动发送预检请求
  • 预检请求
    • 发送时机:预检请求在实际跨域请求之前发出,由浏览器发起。
    • 主要作用:用于向服务器确认是否允许接下来的跨域请求。
    • 基本流程:先发起OPTIONS请求,如果通过预检,继续发起实际的跨域请求。
    • 请求头内容:一个OPTIONS预检请求,通常会包含如下请求头
      • Origin: 发起请求的源
      • Access-Control-Request-Method: 实际请求的HTTP方法
      • Access-Control-Request-Headers: 实际请求中使用的自定义头

CORS解决简单请求的跨域问题

  • 示意图
    • 请添加图片描述
  • 浏览器请求时,请求头都会带一个Origin,表示源地址。可以在服务端的响应头中加一个 Access-Control-Allow-Origin字段,表示允许哪个源访问,填写允许访问的源地址,就可以解决跨域问题。

CORS解决复杂请求的跨域问题

  • 第一步:服务器先通过浏览器的预检请求,返回如下响应头
    • Access-Control-Allow-Origin: http://192.168.206.146:80
    • Access-Control-Allow-Methods: GET
    • Access-Control-Allow-Headers: myname
    • Access-Control-Max-Age: 7200
    • 备注: Access-Control-Allow-Headers是自定义的响应头,Access-Control-Max-Age是可选的,缓存时间,表示多长时间内不需要再发送预检请求。
  • 示意图
    • 请添加图片描述
  • 第二步:处理实际的跨域请求(和处理简单请求的跨域问题方法一样)

通过cors解决跨域问题

  • 上面演示的方法,手动修改比较麻烦,可以通过cors去配置。
  • 安装cors后,在服务端的js代码中写入以下内容
  •   const cors = require('cors')
  app.use(cors({
  	origin: 'http://192.168.206.146:80', // 允许的源
  	methods: ['GET', 'POST','OPTIONS'],  // 允许的方法
  	allowedHeaders: ['myname']           //允许的自定义头
  }))

6 JSONP解决Ajax跨域问题

JSONP概述

  • JSONP概述:JSONP是利用了 <script> 标签可以跨域加载脚本,且不受严格限制的特性去解决跨域问题。但JSONP有局限性,只能解决GET请求的跨域问题。

原理

  • 基本流程
    • 第一步:客户端创建一个 <script> 标签,并将其src属性设置为包含跨域请求的URL,同时准备一个回调函数,这个回调函数用于处理返回的数据。
    • 第二步:服务端接收到请求后,将数据封装在回调函数中并返回。
    • 第三步:客户端的回调函数被调用,数据以参数的形式传入回调函数。
  • 示意图
    • 请添加图片描述

代码实现

  • server端代码 
    •   const express = require('express')
  const app = express()
  
  const teachers = [
  	{id:'001', name:'jack', age:18},
  	{id:'002', name:'lucy', age:20},
  ]

  app.get('/teachers', (req, res)=>{
  	res.send(`callback(${JSON.stringify(teachers)})`)
  })

  app.listen(80, ()=>{
  	console.log('server listen')
  })
  • 前端代码 
    •   <!DOCTYPE html>
  <html>
      <head>
          <meta charset="UTF-8">
          <title>跨域访问</title>
      </head>
      <body>
          <script type="text/javascript">
  			function  callback(data){
  				console.log('callback 被调用', data)
  			}
  		</script>
  		<script type="text/javascript" src="http://127.0.0.1:80/teachers"></script>
      </body>
  </html>
  • 前端代码优化-设置点击按钮再发送请求 
    •   <!DOCTYPE html>
  <html>
      <head>
          <meta charset="UTF-8">
          <title>跨域访问</title>
      </head>
      <body>
          <button onclick="getData">获取数据</button>
          <script type="text/javascript">
              function callback(data){
                  console.log(data)
              }
              
              function getData(){
                  const script = document.createElement('script')
                  script.onload = ()=>{
                      script.remove()
                  }
  
                  script.src = 'http://127.0.0.1:80/teachers'
                  document.body.appendChild(script)
              }
          
          </script>
      </body>
  </html>

7 配置代理解决跨域

  • 这里只介绍通过Nginx反向代理解决跨域。

  • 在nginx配置文件中配置反向代理

    •   server {
         listen       80;
         server_name  localhost;
  
         location / {
             root   html;
             index  index.html index.htm;
         }
  		
  		# 配置反向代理
  		location /api {
  			proxy_pass https://www.toutiao.com/hot-event/hot-board/?origin=toutiao_pc;
  			add_header Access-Control-Allow-Origin *;
  		}
  
         error_page   500 502 503 504  /50x.html;
         location = /50x.html {
             root   html;
         }
  }

  • 修改Nginx默认index.html页面如下

    •   <!DOCTYPE html>
  <html>
      <head>
          <meta charset="UTF-8">
          <title>跨域访问</title>
      </head>
      <body>
          <button onclick="getNews()">获取新闻</button>
          <script type="text/javascript">
              async function getNews(){
                  const myurl = "http://192.168.206.146:80/api"
                  let result = await fetch(myurl)
                  let data = await result.json()
                  console.log(data)
              }
          </script>
      </body>
  </html>

  • 在标题4的演示中,直接在浏览器访问 http://192.168.206.146:80,点击获取新闻,会访问对应链接 https://www.toutiao.com,由于存在跨域,因此访问失败。

  • 配置反向单例后,在浏览器访问 http://192.168.206.146:80, 点击获取新闻,会访问 http://192.168.206.146:80/api 这个地址,而 http://192.168.206.146:80/api 实际代理到了 https://www.toutiao.com 地址上。由于服务器之间不存在跨域问题,因此可以正常访问。

  • 效果

    • 在这里插入图片描述

  • 点击获取新闻,可以看到,可以成功获取到数据。

问题详解
Addisoni
01-31 8561
浅谈 阅读须知: 作者是一个在校大学生,尚未工作,以下内容依据个人理解与网上资料编写。若有错误,还请指出,感激不尽。网上对于的解释大多是一堆文字,对于初学者来说往往较难理解,这篇博客我将利用NodeJs搭建一个简易的服务器用于模拟,不懂NodeJs的小伙伴也不用紧张,只是借助于NodeJs来快速搭建一个http服务器。我将以最简单的代码去还原问题。若有兴趣的小伙伴,可自行百度学习...
问题及常用的5种解决方案
zhzjn的博客
10-17 2825
问题通常指的是在浏览器中由于同源策略的限制而产生的问题。同源策略(Same-origin policy)是浏览器的一种安全措施,它要求请求的名、协议和端口必须与提供资源的网站相同。当一个网页尝试访问另一个来源(即不同名、协议或端口)的数据时,那么后端返回给浏览器的数据被浏览器拦截下来,这就是
什么是? 出现原因及解决方法
热门推荐
Knight
02-28 3万+
什么是? 出现原因及解决方法
SpringBoot 问题(CORS)彻底解决方案
最新发布
。。。
03-28 765
前端请求发送失败,后端收不到请求(OPTIONS 预检请求被拦截)Spring Cloud / Spring Gateway 项目,什么是、为什么会、SpringBoot 最全解决方案。方案 1:注解方式(最简单,单个接口/Controller)方案 3:Spring Security 中的配置。安全框架拦截优先级最高,只配置方案2会失效!**允许携带Cookie时,不能用 * **✅ 复制即用,全局所有接口立刻解决。方案 4:网关统一处理(微服务项目)
面试突击81:什么是问题?如何解决?
m0_56069948的博客
09-08 3505
问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部、通过配置文件实现全局、通过 CorsFilter 对象实现全局、通过 Response 对象实现局部,通过 ResponseBodyAdvice 实现全局
N种方法解决问题
Benjamin
12-19 7928
N种方式解决问题
js 解决访问错误
yohaa的专栏
01-19 490
访问错误是前端开发中常见的问题,但通过CORS、JSONP、代理服务器、WebSocket、PostMessage、Nginx反向代理等方法,可以有效地解决问题。选择合适的方法取决于具体的应用场景和需求。
问题解决:访问错误
dengjiayue的博客
05-09 5040
简单来说就是我在我的桌面的html文件中有访问wsl的名,然后两个名不一样,就会触发保护机制,如果这时你的服务端没有添加的许可(对我来说就是添加桌面的html可以访问路径的许可),就会找不到路径返回404。我们可以使用一个中间件函数来处理的验证,因为如果,浏览器要先发送一个请求方法为: OPTIONS的请求来判断,需要返回一个200才会发送剩下的请求,使用我们定义访问许可中间件函数。在相应的时候在setheader函数中添加允许访问的路径(我这里嫌麻烦还是用的*)
windows下Nginx+Tomcat部署Vue,解决访问后端api访问错误
wspc_的博客
10-25 2611
windows下Nginx+Tomcat部署Vue,解决访问后端api访问错误vue-vben-admin 项目的一些配置部署到TomcatNginx解决访问错误致谢 记录一下vue-vben-admin开源项目需要注意的地方,方便以后快速使用。 使用前后端分离方式部署项目。 vue-vben-admin 项目的一些配置 需要重点关注一下几个文件的内容: 系统配置文件: .env # 运行端口 VITE_PORT = 3100 # 配置项目名称 VITE_GLOB_APP_TITLE = Vben
sliverlight 访问WCF服务错误解决方法
zhaoyun927的专栏
07-26 689
sliverlight访问wcf服务提示错误! 一般是由于文件不存在造成的,方法是创建XML 文件重命名为clientaccesspolicy(必须是这个名字)内容                                                     另一种是配置文件内容不对,网上写的配置文件版本有好多
Ajax访问的parsererror错误解决
点点滴滴
09-21 1299
Ajax访问的parsererror错误解决主要是两个关键点,注释里都写了,前台Jquery,后台php。不多说直接上代码:前台: $(function () { $.ajax("http://xxxxx.chinacloudsites.cn/", { type: 'get',
问题及解决
scj1022的博客
05-19 5622
问题
问题详解及解决方案
无简介
04-27 8744
随着 Web 技术的不断发展,前后端分离的开发模式逐渐成为主流。在这种模式下,前端和后端分别独立开发,前端与后端通信的方式多为使用 Ajax 发送 HTTP 请求。然而,由于浏览器的安全策略限制,可能会出现问题,导致请求失败。什么是问题?为什么会出现问题?什么情况下会出现?如何解决问题?代码示例问题指的是在 Web 应用程序中,由于同源策略的限制,导致浏览器无法发送请求,也无法获取响应的问题
九种常见的解决方案(详解)
qq_44741577的博客
03-07 2万+
在前端领中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。
关于访问
登登的博客 是温馨的小屋。
07-05 6402
1. ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。最简单的说就是从当前名的网站下不能请求非同源的地址所谓同源是指,名,协议,端口.........
什么是?——详解问题及其解决方案
fudaihb的博客
07-06 1万+
问题是Web开发中常见且令人困扰的问题之一。理解的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍的概念、产生原因、常见的解决方案,并提供详细的代码示例,帮助读者深入理解问题及其应对方法。
解决的三种方法
weixin_58448088的博客
02-21 1万+
1、详解解决三种方法 2、瀑布流布局 3 、函数的节流 4、函数的防抖
什么是问题怎么解决?
weixin_43240792的博客
06-17 8000
目录 一、什么是? 二、为什么会出现问题? 三、常见的场景 四、解决方法 1、JSONP (1)JSONP原理 (2)JSONP和AJAX对比 (3)JSONP优缺点 (4)JSONP的流程(以第三方API地址为例,不必考虑后台程序) (5)jQuery的jsonp形式 2、CORS (1)CORS原理 (2)CORS优缺点 (3)用法 3、WebSo...
什么是,如何解决问题
weixin_55862073的博客
05-07 5737
问题产生的根本原因是浏览器的同源策略(Same-Origin Policy)。同源策略是浏览器实现的一种安全协议,它限制了一个源的文档或脚本如何与另一个源的资源进行交互。如果没有同源策略,恶意网页可能会读取另一个网页的敏感信息,如用户输入的密码、银行账号等,从而进行非法操作。
解决问题的8种方案(最新最全)
m0_68271787的博客
01-12 5328
浏览器对于javascript的同源策略的限制,例如下面的js不能调用中的js,对象或数据(因为和是不同),所以就出现了.简单的解释就是名相同,端口相同,协议相同问题在目前后端分离的架构中普遍存在,本文所介绍的这几种方案虽然都能够解决问题,但其实各有优劣。比如Jsonp方式实现起来较为简单,但只支持GET请求方式,在原生JavaScript脚本中使用方便,但是当利用了如Vue.js这种MVVM框架时就有些难以施展了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大草原的小灰灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值