js 跨域问题
一、基础概念
在JavaScript中,同源策略是一种安全机制,它规定浏览器只能向与自身来源(协议、域名、端口都相同)相同的域发送请求并获取数据。跨域就是指在浏览器中向不同源(协议、域名或者端口有一个不同就算不同源)发送请求的情况。
二、相关优势
- 安全性
- 同源策略防止恶意网站读取其他网站的敏感数据。例如,一个恶意的电商网站不能通过JavaScript获取用户在银行网站上的登录信息。
- 数据隔离
- 不同源之间的数据相互隔离,有助于维护各个网站或应用的独立性和完整性。
三、类型
- 协议跨域
- 如
http和https之间的请求。例如,在http协议的页面中向https协议的服务器发送AJAX请求。
- 如
- 域名跨域
- 不同的域名之间,像
www.example.com向www.test.com发送请求。
- 不同的域名之间,像
- 端口跨域
- 相同域名不同端口的情况,例如
www.example.com:8080向www.example.com:3000发送请求。
- 相同域名不同端口的情况,例如
四、应用场景
- 第三方API调用
- 当网站需要集成来自其他提供商的服务时,如天气数据提供商、地图服务提供商等,这些服务往往在不同的域上。
- 微服务架构下的前端与后端交互
- 在一个大型应用中,前端和后端可能部署在不同的服务器或者不同的端口上,需要进行跨域通信。
五、问题原因及解决方法
- 原因
- 浏览器的同源策略限制。当违反同源策略时,浏览器会阻止请求的发送或者阻止对响应数据的访问。
- 解决方法
- CORS(跨域资源共享)
- 服务器端设置响应头。例如,在Node.js的Express框架中:
- 服务器端设置响应头。例如,在Node.js的Express框架中:
- 这里的
Access - Control - Allow - Origin可以设置为特定的源(如http://www.example.com)或者*(表示允许所有源,但不太安全)。
- JSONP(JSON with Padding)
- 这是一种利用
<script>标签没有跨域限制的特性。例如:- 前端代码:
- 前端代码:
- 后端(以Node.js为例):
- 后端(以Node.js为例):
- 但是JSONP只支持
GET请求,并且存在一定的安全风险。
- 这是一种利用
- 代理服务器
- 在前端开发环境中,如使用Webpack的
devServer可以设置代理。例如在webpack.config.js中: - 在前端开发环境中,如使用Webpack的
devServer可以设置代理。例如在webpack.config.js中: - 这样前端发送到
/api的请求会被代理到http://www.otherdomain.com,从而绕过浏览器的跨域限制。
- 在前端开发环境中,如使用Webpack的
- CORS(跨域资源共享)
相关·内容
2回答
我正在使用AngularJS $resource来获取一些数据。mycallback = function(data,$scope){};
app.factory('Phone', ['$resource',function($resource)
浏览 0提问于2014-04-23得票数 0
1回答
我尝试使用jquery.load(),但是它遇到了跨域问题,并且窗口蔚蓝的斑点不允许更改CORS策略。接下来,我尝试使用和来实现跨域负载。来自Text.Js文档:
我使用requi
浏览 15提问于2013-01-05得票数 1
回答已采纳
我在跨域请求通过PDF.js获取PDF文件时遇到了问题。有没有人能告诉我在Apache服务器上启用跨域PDF.js请求的步骤?
浏览 19提问于2013-08-12得票数 2
2回答
如何提出跨域请求
、、、
如您所知,web浏览器的安全性不允许跨域请求的发出。我读了一本书,其中说,只有当您可以将文件放在服务器上(意思是将加载到相同请求域的页面)时,才应该使用XMLHTTPRequest。我的问题是
<script src="www.domain2.com/
浏览 4提问于2013-07-26得票数 35
1回答
{ "react-scripts": "4.0.3"我的React应用程序是在开发中跨域加载的,我已经将我的React应用程序配置为使用__webpack_public_path__跨域加载捆绑包块。://host.docker.internal:3002/static/js/0.chunk.js上的页面。
浏览 1提问于2021-06-23得票数 0
如题,前端通过js发送请求触发无服务器云函数,云函数倒是触发了,但是请求跨域无法解决啊。这样前端就无法知道自己有没有触发函数了啊。废话不多说,上图:
没有看到无服务器云函数那里有配置跨域,或者消息队列那里有配置跨域的地方。请问这个问题有什么解决方案吗?
浏览 1361提问于2018-04-20
1回答
URLFOR($Resource.JQuery, '/js/jquery-1.11.0.min.js')}" /> var jf.contents().find(".viewHeaderValue").hide(); }); 起初,我不认为这会是跨<e
浏览 3提问于2014-02-01得票数 0
回答已采纳
其他的 SDK 包括小程序/NodeJs的 SDK 都有 getService 方法,为什么唯独 Javascript SDK 没有 getService 方法?
浏览 370提问于2019-08-13
在JS中使用showModalDialog或window.open在新窗口中从相同的域打开URL在几乎任何浏览器中都是可以的。但是,使用这些函数打开跨域URL将被某些浏览器阻止,比如Chrome,以解决安全问题。我想知道Javascript中是否有任何使用showModalDialog或window.open等函数实现开放跨域URL的黑客方式。
浏览 4提问于2012-01-12得票数 0
回答已采纳
访问mp3文件资源的时候, 出现 No 'Access-Control-Allow-Origin' header is present on the requested resource., 请问怎么解决?
[附加信息]
浏览 3243提问于2018-05-14
2回答
我的应用程序的要求是在注销时导航到跨域页面。由于可能没有在跨域应用程序中设置CORS (错误:不存在访问控制-允许-原产地标头),因此response.sendRedirect(url)无法从JAVA端运行。现在,意识到这个跨域的障碍,我在UI方面做了一些研究,在互联网上浏览了许多帖子,并尝试从UI导航到跨域页面,但没有效果。使用Angularjs- $http.jsonp('https://www.google.co.i
浏览 3提问于2016-02-27得票数 0
回答已采纳
我最近一直在尝试建立一个跨域的web,哇,这是一个坎坷的旅程。我对Chrome、FF和Safari等现代浏览器没有任何问题。问题在于IE,它要求您在进行跨域调用时使用XDR而不是$.ajax。第一个问题:如果我使用Backbone.js,建议使用什么方法进行跨浏览器和跨域ajax调用?我在IE中遇到的另一个问题是,当您提出跨域ajax请求时,IE
浏览 1提问于2012-04-06得票数 2
回答已采纳
1回答
但是,当我在heroku上创建两个应用程序并部署时,我在飞行前ajax调用(选项)上得到了浏览器跨域异常。不确定出了什么问题?约安
浏览 0提问于2013-05-14得票数 1
回答已采纳
我想知道如何在火狐JavaScript中访问和修改跨域iframe的内容。我理解普通JavaScript的局限性,以及修改跨域iframe将是XSS漏洞,但我相信在WebExtension中有一些方法是我找不到的。我认为这是因为遗留扩展清单有允许权限部分中跨域内容的选项。当查看旧版本的FireFox扩展的旧代码时,某些网站的跨域内容的选项如下所示。尽管对于新的FireFox WebExtension,这不是文档中列出的特性。错误:拒绝访问属性"
浏览 4提问于2017-03-23得票数 12
回答已采纳
2回答
使用了一个指向Tumblr的子域,但是跨域版本的Respond.js无法工作。我正在做这个:<link href="http://www.stevechab.comrespond-redirect" rel="re
浏览 1提问于2012-05-25得票数 2
回答已采纳
1回答
我正在使用Aurelia框架开发javascript单页面应用程序,并使用简单的伪后端(express.js)进行原型设计。后端在localhost:8081上运行,客户端应用在localhost:9000上运行,因为它们是不同的端口,所以存在一些跨域问题,并且向后端添加跨源头对我来说似乎很麻烦。我想要的是简单的分派器/代理,它可以在本地主机:3000上运行,并以这种方式重定向传入呼叫(本地主机:3000/:9000)(本地主机:3000/:8081),从而消除跨</
浏览 2提问于2015-09-23得票数 0
3回答
遵循Steve (YSlow) Souder的传教,my site (LibraryThing.com)跨域拆分请求,以促进并行加载。我们做CSS,JS和图片;你也可以做Flash,等等。我们也使用Google版本的Prototype,它是跨域的,而不仅仅是跨子域的。
这一切对于速度来说都很棒,但对于一小部分用户来说,这是错误的。我认为问题在于过于热心的安全设置,可能是在IE中,但也可能在其他浏览器和/或上游系统中。我很惊讶Souders和其
浏览 0提问于2009-04-30得票数 4
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
