让你一分钟了解跨域

什么是跨域?概念:

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。

除了请求自己的服务器之外,请求别人的服务器统称为跨域。

严格一点来说:只要“协议,域名,端口”有任何一个不一样,就被当作是跨域。

广义的跨域:

1.资源跳转:a链接,重定向,表单提交;

2.资源嵌入:link,script,img,frame等dom标签;

3.脚本请求:js发起的Ajax请求,dom和js对象的跨域操作等;

什么是同源策略;

同源策略是一种约定,有Netscape公司1995年引入的浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易收到XSS/CSFR等攻击。

同源是指“协议+域名+端口”三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

同源策略限制以下几种行为

1.)Cookie、LocalStorage 和 IndexDB 无法读取

2.)DOM 和 Js对象无法获得

3.)AJAX 请求不能发送

常见跨域场景:

让你一分钟了解跨域

跨域的方式都有那些;

JSONP:

全称json with padding。它是一种非官方的协议,它允许在服务器端集成Script tags返回客户端,通过JavaScript callback的形式实现跨域访问。

Jsonp只能使用GET方式发起跨域请求,跨域请求需要服务配合,设置callback,才能完成跨域请求。

Jsonp发送的不是Ajax请求;

弊端:不能post传值。

Axios:

特性:

1.可以在浏览器中发送XMLHttpRequest请求;

2.可以在node.js发送http请求;

3.支持Promise API;

4.拦截请求和响应;

5.转换请求数据和响应数据;

6.能够取消请求;

7.自动转换json数据;

8.客户端支持保护安全免受XSRF攻击;

Ajax:

Ajax,意思就是用JavaScript执行异步网络请求。

跨域实现方法:

主要可以通过架设代理服务器,jsonp和cors三种方案实现跨域,用JavaScript写一个完整的Ajax代码并不复杂。但是需要注意,Ajax请求是异步执行的,也就是说,要通过回调函数获得响应。

Cors:

Cors是一个w3c标准,全称“跨域资源共享”。

让你一分钟了解跨域
W3C

普通跨域请求:只服务端设置Access-Control-Allow-Origin即可,前端无须设置,若要带cookie请求:前后端都需要设置。

它允许浏览器向跨源服务器发出XMLHttpRequest请求。

Cors发送的是真正的Ajax请求;Cors支持Ajax的跨域;

优点:

1.支持post以及所有http请求;

2.安全性相对jsonp更高;

3.前端做的事情比较少;

缺点:

1.不兼容旧版浏览器,如IE9及其以下;

2.需要服务端支持;

3.使用起来复杂了写;

正向代理:

用途:

1.访问原来无法访问的资源,如Google;

2.可以做缓存,加速访问资源;

3.对客户端访问授权,上网进行认证;

4.代理可以记录用户访问记录(上网行为管理),对外隐藏用户信息;

缺点:

安全性较低;

反向代理:

作用:

1.保护内网安全;

2.负载均衡;(负载均衡可以通过反向代理解决跨域问题,同时也是为服务器的性能进行优化)

为什么浏览器要限制跨域呢;

原因就是安全问题如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在服务端完全不知情的情况下出现安全问题

LNMP:

Linux,Nginx,Mysql,Php;

未经允许不得转载:PHP100中文网 - 中国第一档PHP资源分享门户 » 让你一分钟了解跨域

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏