如何跨域请求

为何要跨域

浏览器为了防止csrf(跨站请求伪造),NetScape提出的一个著名的安全策略:同源策略。所谓的同源,指的是协议,域名,端口相同。浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。
同源三要素

  • 协议相同
  • 域名相同(域名和对应的ip也被视为不同,因为浏览器不会为你请求dns判断)
  • 端口相同

随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制。

  • Cookie、LocalStorage和IndexDB无法读取。
  • DOM 无法获取。
  • AJAX 请求不能发送。

如何跨域

如果需要跨域请求,那么有如下几种方法:

不同二级域名下cookie共享

如果两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。
设置方法:

#两个网站设置相同的document.domain属性
document.domain = 'example.com';

A网站设置cookie:
document.cookie = "test1=hello";

B网站访问cookie:
var allCookie = document.cookie;  //可以获取到

注意:如果共享了cookie,也就意味着只要有一个网站被攻击成功,另一个网站的cookie也将被获取。有黑客论坛专门讲过从其他二级域名下手攻克网站的教程。

这种方法有一定局限性如下:

  1. 如果修改了document.domain,则在某些机器上的IE678里,获取location.href有权限异常。
  2. 如果页面修改了document.domain,则它包含的iframe,必须也设domain,才能进行交互。就算是同域的页面也必须要设。
  3. 这种方法不适用于LocalStorage 和 IndexDB ,要使用其他方法规避。

JSONP

它的基本思想是,浏览器对于带有src的标签,不被同源策略限制,网页通过添加一个

posted @ 2020-05-24 19:14  vinter_he  阅读(457)  评论(0编辑  收藏  举报