你可能不知道的CORS跨域资源共享

2024-05-06 15:41:40

字体：大中小

来源：转载

供稿：网友

什么是CORS？

默认情况下，为预防某些而已行为，浏览器的XHR对象只能访问来源于同一个域中的资源。但是我们在日常实际开发中，常常会遇到跨域请求的需求，因此就出现了一种跨域请求的方案：CORS（Cross-Origin Resource Sharing）跨域资源共享。

CORS背后的原理是：使用自定的HTTP头部与服务器进行沟通，从而由服务器决定响应是否成功。

了解下同源策略

源（origin）*：就是协议、域名和端口号；同源：就是源相同，即协议、域名和端口完全相同；同源策略：同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源；同源策略的分类： DOM 同源策略：即针对于DOM，禁止对不同源页面的DOM进行操作;如不同域名的 iframe 是限制互相访问。 XMLHttpRequest 同源策略：禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。不受同源策略限制：页面中的链接，重定向以及表单提交(因为表单提交，数据提交到action域后，本身页面就和其没有关系了，不会管请求结果，后面操作都交给了action里面的域)是不会受到同源策略限制的。资源的引入不受限制，但是js不能读写加载的内容：如嵌入到页面中的<script src="..."></script>，<img>，<link>，<iframe>等

为什么要跨域限制

如果没有 DOM 同源策略：那么就没有啥xss的研究了，因为你的网站将不是你的网站，而是大家的，谁都可以写个代码操作你的网站界面如果没有XMLHttpRequest 同源策略，那么就可以很轻易的进行CSRF（跨站请求伪造）攻击：用户登录了自己的网站页面 a.com,cookie中添加了用户标识。用户浏览了恶意页面 b.com，执行了页面中的恶意 AJAX 请求代码。 b.com 向 a.com发起 AJAX HTTP 请求，请求会默认把 a.com对应cookie也同时发送过去。 a.com从发送的 cookie 中提取用户标识，验证用户无误，response 中返回请求数据;数据就泄露了。而且由于Ajax在后台执行，这一过程用户是无法感知的。（附）有了XMLHttpRequest 同源策略就可以限制CSRF攻击？别忘了还有不受同源策略的：表单提交和资源引入，（安全问题下期在研究）

跨域决解方案

JSONP 跨域：借鉴于 script 标签不受浏览器同源策略的影响，允许跨域引用资源；因此可以通过动态创建 script 标签，然后利用 src 属性进行跨域；缺点：所有网站都可以拿到数据，存在安全性问题，需要网站双方商议基础token的身份验证。只能是GET，不能POST。可能被注入恶意代码，篡改页面内容，可以采用字符串过滤来规避此问题。服务器代理：浏览器有跨域限制，但是服务器不存在跨域问题，所以可以由服务器请求所要域的资源再返回给客户端。 document.domain、window.name 、location.hash：借助于iframe决解DOM同源策略 postMessage：决解DOM同源策略，新方案 CORS（跨域资源共享）：这里讲的重点

上一篇：Node.js + express基本用法教程

下一篇：使用jquery的cookie实现登录页记住用户名和密码的方法