百度360必应搜狗淘宝本站头条
mqtt服务器xftp6mybatiscollectionkeyerrorc#var
当前位置:网站首页 > 热门文章 > 正文

最直白的跨域讲解,速速收藏,以后不要再问我跨域的问题了

bigegpt 2024-10-12 05:55 6 浏览

作为一名敬业的搬砖者,励志扫荡一切bug,让测试没办法搞事情。

今天,测试妹子提了一个Bug,内容是这样的:

Nginx配置了2个设备IP,可访问接口时,只能展示其中一个设备的数据。

原来是跨域的问题哦,测试妹子问:什么是跨域?

我心中欢喜:哈哈,是时候展现真正的技术了!

要弄清楚跨域,先看看为什么出现跨域问题。

浏览器的同源策略

为了消除测试的疑惑,先给测试妹子说了说浏览器的同源策略。

官方说明:

同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。

这是一个用于隔离潜在恶意文件的重要安全机制。

怎么判断同源?如果两个页面协议、端口和IP(域名)都相同,则同源;否则就不同源。

举例,与http://test.com/test相比:

http://test.com/doc同源,协议和IP和端口(未指定默认80)相同。
ftp://test.com/test不同源,协议不同。
http://test.com:81/test不同源,端口不同。
http://test.test.com/test不同源,域名不同。

其中,IE浏览器例外。

如果是判断2个相互之间高度互信的域名,如公司域名,不遵守同源策略。

IE浏览器也未将端口号加入判断是否同源的条件中。

由此可见,IE浏览器兼容性真的差,就是有很特殊之处,让开发者很讨厌却没办法。

清楚了同源策略,那么就知道浏览器搞这个其实是为安全着想,那这个安全机制有什么用?

没有同源策略限制的后果

据了解,浏览器是从接口请求和Dom查询这2个方面进行同源策略。

设想下,如果没有同源策略限制,当做出上述2个操作时,会有什么后果?

没有同源策略的接口请求

浏览器发送请求后,服务器接收请求后在响应头加入Set-Cookie字段。

浏览器下次再发送请求时,自动附加cookie信息,服务器就能知道这个页面已经请求过了。

看看一个实际生活中的例子:

  1. 打开银行网站test.com进行转账等操作,甚至顺便浏览下基金的情况。
  2. 过程中,好基友发送了一个分享链接share.com,你打开了。
  3. 你浏览分享内容,因为没有同源限制,这个网站很可恶的向test.com发送请求。
  4. 进行了上面讲述的附加cookie过程,这样一番骚操作,分享链接网站登陆你的银行账号为所欲为……

这就是传说中CSRF攻击。

没有同源策略的Dom查询

再看看实际例子:

  1. 有天听说基金降的很凶,你很着急,赶紧登陆银行账号,查看到底亏了多少。
  2. 火急火燎的你没看清楚,平时登陆的网站是test.com,而今天访问的是tes.com,这个不可描述的网站可以做哪些操作呢?
  3. 因为没有同源策略限制,网站可以拿到test.com的Dom,获取银行账号和密码是分分钟的事。

由此可知,同源策略其实是浏览器的一种保护机制。

jsonp解决跨域

因为同源策略,出现了跨域问题。那么该如何解决呢?

下面祭出咱们的终端武器jsonp,全称json with padding,是为了解决跨域请求资源而产生的解决方案。

jsonp可以从基于script标签、jquery、iframe实现跨域,当然还有其他解决跨域问题。

具体怎么实现,测试妹子说:不想看具体的代码了,遂作罢遁走改Bug。

相关推荐

得物可观测平台架构升级:基于GreptimeDB的全新监控体系实践

一、摘要在前端可观测分析场景中,需要实时观测并处理多地、多环境的运行情况,以保障Web应用和移动端的可用性与性能。传统方案往往依赖代理Agent→消息队列→流计算引擎→OLAP存储...

warm-flow新春版:网关直连和流程图重构

本期主要解决了网关直连和流程图重构,可以自此之后可支持各种复杂的网关混合、多网关直连使用。-新增Ruoyi-Vue-Plus优秀开源集成案例更新日志[feat]导入、导出和保存等新增json格式支持...

扣子空间体验报告

在数字化时代,智能工具的应用正不断拓展到我们工作和生活的各个角落。从任务规划到项目执行,再到任务管理,作者深入探讨了这款工具在不同场景下的表现和潜力。通过具体的应用实例,文章展示了扣子空间如何帮助用户...

spider-flow:开源的可视化方式定义爬虫方案

spider-flow简介spider-flow是一个爬虫平台,以可视化推拽方式定义爬取流程,无需代码即可实现一个爬虫服务。spider-flow特性支持css选择器、正则提取支持JSON/XML格式...

solon-flow 你好世界!

solon-flow是一个基础级的流处理引擎(可用于业务规则、决策处理、计算编排、流程审批等......)。提供有“开放式”驱动定制支持,像jdbc有mysql或pgsql等驱动,可...

新一代开源爬虫平台:SpiderFlow

SpiderFlow:新一代爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。-精选真开源,释放新价值。概览Spider-Flow是一个开源的、面向所有用户的Web端爬虫构建平台,它使用Ja...

通过 SQL 训练机器学习模型的引擎

关注薪资待遇的同学应该知道,机器学习相关的岗位工资普遍偏高啊。同时随着各种通用机器学习框架的出现,机器学习的门槛也在逐渐降低,训练一个简单的机器学习模型变得不那么难。但是不得不承认对于一些数据相关的工...

鼠须管输入法rime for Mac

鼠须管输入法forMac是一款十分新颖的跨平台输入法软件,全名是中州韵输入法引擎,鼠须管输入法mac版不仅仅是一个输入法,而是一个输入法算法框架。Rime的基础架构十分精良,一套算法支持了拼音、...

Go语言 1.20 版本正式发布:新版详细介绍

Go1.20简介最新的Go版本1.20在Go1.19发布六个月后发布。它的大部分更改都在工具链、运行时和库的实现中。一如既往,该版本保持了Go1的兼容性承诺。我们期望几乎所...

iOS 10平台SpriteKit新特性之Tile Maps(上)

简介苹果公司在WWDC2016大会上向人们展示了一大批新的好东西。其中之一就是SpriteKitTileEditor。这款工具易于上手,而且看起来速度特别快。在本教程中,你将了解关于TileE...

程序员简历例句—范例Java、Python、C++模板

个人简介通用简介:有良好的代码风格,通过添加注释提高代码可读性,注重代码质量,研读过XXX,XXX等多个开源项目源码从而学习增强代码的健壮性与扩展性。具备良好的代码编程习惯及文档编写能力,参与多个高...

Telerik UI for iOS Q3 2015正式发布

近日,TelerikUIforiOS正式发布了Q32015。新版本新增对XCode7、Swift2.0和iOS9的支持,同时还新增了对数轴、不连续的日期时间轴等;改进TKDataPoin...

ios使用ijkplayer+nginx进行视频直播

上两节,我们讲到使用nginx和ngixn的rtmp模块搭建直播的服务器,接着我们讲解了在Android使用ijkplayer来作为我们的视频直播播放器,整个过程中,需要注意的就是ijlplayer编...

IOS技术分享|iOS快速生成开发文档(一)

前言对于开发人员而言,文档的作用不言而喻。文档不仅可以提高软件开发效率,还能便于以后的软件开发、使用和维护。本文主要讲述Objective-C快速生成开发文档工具appledoc。简介apple...

macOS下配置VS Code C++开发环境

本文介绍在苹果macOS操作系统下,配置VisualStudioCode的C/C++开发环境的过程,本环境使用Clang/LLVM编译器和调试器。一、前置条件本文默认前置条件是,您的开发设备已...

一周热门
最近发表
标签列表