同源策略、跨域解決方案
一、先來講說什麼是源
• 源(origin)就是協議、域名和端口號。
以上url中的源就是:http://www.company.com:80
若地址裏面的協議、域名和端口號均相同則屬於同源。
如下是相對於 http://www.a.com/test/index.html 的同源檢測
• http://www.a.com/dir/page.html ----成功
• http://www.child.a.com/test/index.html ----失敗,域名不一樣
• https://www.a.com/test/index.html ----失敗,協議不一樣
• http://www.a.com:8080/test/index.html ----失敗,端口號不一樣javascript
2.什麼是同源策略?
同源策略是瀏覽器的一個安全功能,不一樣源的客戶端腳本在沒有明確受權的狀況下,不能讀寫對方資源。因此a.com下的js腳本採用ajax讀取b.com裏面的文件數據是會報錯的。html
• 不受同源策略限制的:
一、頁面中的連接,重定向以及表單提交是不會受到同源策略限制的。
二、跨域資源的引入是能夠的。可是js不能讀寫加載的內容。如嵌入到頁面中的<script src="..."></script>,<img>,<link>,<iframe>等。java
2、跨域
一、什麼是跨域
受前面所講的瀏覽器同源策略的影響,不是同源的腳本不能操做其餘源下面的對象。想要操做另外一個源下的對象是就須要跨域。ajax
二、跨域的實現形式
• 降域 document.domain
同源策略認爲域和子域屬於不一樣的域,如:
child1.a.com 與 a.com,
child1.a.com 與 child2.a.com,
xxx.child1.a.com 與 child1.a.com
兩兩不一樣源,能夠經過設置 document.damain='a.com',瀏覽器就會認爲它們都是同一個源。想要實現以上任意兩個頁面之間的通訊,兩個頁面必須都設置documen.damain='a.com'。
此方式的特色:
1. 只能在父域名與子域名之間使用,且將 xxx.child1.a.com域名設置爲a.com後,不能再設置成child1.a.com。
2. 存在安全性問題,當一個站點被攻擊後,另外一個站點會引發安全漏洞。
3. 這種方法只適用於 Cookie 和 iframe 窗口。
• JSONP跨域json
JSONP:json+padding(內填充),顧名思義,就是把JSON填充到一個盒子裏
JSONP的原理:(舉例:a.com/jsonp.html想獲得b.com/main.js中的數據)在a.com的jsonp.html裏建立一個回調函數xxx,動態添加<script>元素,向服務器發送請求,請求地址後面加上查詢字符串,經過callback參數指定回調函數的名字。請求地址爲http://b.com/main.js?callback=xxx。在main.js中調用這個回調函數xxx,而且以JSON數據形式做爲參數傳遞,完成回調。咱們來看看代碼:
• // a.com/jsonp.html中的代碼跨域
function addScriptTag(src) {
var script = document.createElement('script');
script.setAttribute("type","text/javascript");
script.src = src;
document.body.appendChild(script);
}
window.onload = function () {
addScriptTag('http://b.com/main.js?callback=foo');
} //window.onload是爲了讓頁面加載完成後再執行
function foo(data) {
console.log(data.name+"歡迎您");
};
//b.com/main.js中的代碼
foo({name:"hl"})
這樣便實現了跨域的參數傳遞。
採用jsonp跨域也存在問題:
1. 使用這種方法,只要是個網站均可以拿到b.com裏的數據,存在安全性問題。須要網站雙方商議基礎token的身份驗證,這裏不詳述。
2. 只能是GET,不能POST。
3. 可能被注入惡意代碼,篡改頁面內容,能夠採用字符串過濾來規避此問題。瀏覽器
• CORS
CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。
它容許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。
剛纔的例子中,在b.com裏面添加響應頭聲明容許a.com的訪問,代碼:
Access-Control-Allow-Origin: http://a.com
而後a.com就能夠用ajax獲取b.com裏的數據了。
注意:此方法IE8如下徹底不支持,IE8-10部分支持。詳見caniuse-CORS
安全
- 1. 同源策略,跨域解決方案
- 2. 同源策略、跨域解決方案
- 3. 瀏覽器的同源策略及跨域解決方案
- 4. 同源策略防跨域解決方案
- 5. django中同源策略和跨域解決方案
- 6. 同源策略和跨域請求解決方案
- 7. 【轉】同源策略和跨域請求解決方案
- 8. 同源策略和跨域解決方案
- 9. 同源策略及跨域的解決方案
- 10. 瀏覽器同源策略,及跨域解決方案
- 更多相關文章...
- • Redis內存回收策略 - Redis教程
- • SVN 解決衝突 - SVN 教程
- • PHP Ajax 跨域問題最佳解決方案
- • 常用的分佈式事務解決方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 同源策略,跨域解決方案
- 2. 同源策略、跨域解決方案
- 3. 瀏覽器的同源策略及跨域解決方案
- 4. 同源策略防跨域解決方案
- 5. django中同源策略和跨域解決方案
- 6. 同源策略和跨域請求解決方案
- 7. 【轉】同源策略和跨域請求解決方案
- 8. 同源策略和跨域解決方案
- 9. 同源策略及跨域的解決方案
- 10. 瀏覽器同源策略,及跨域解決方案