私信
大王山
文章
2
评论
1
点赞
2
原创 2
翻译 0
转载 0

文章
关注
粉丝
收藏

个人分类:

大王山    2018-08-02 10:10:38   

跨域
**同源策略** 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么? 很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。 由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。 为什么不能跨域访问 跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理,无论是否跨域,请求是发送到了后端服务器,注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。所以只有服务器允许跨域,并且在相应包的头信息里面指明允许跨域,那么跨域请求的响应数据就不会被浏览器拦截丢弃了。 基于安全机制,浏览器设计了跨域。当发起一个Ajax请求的时候,浏览器会先向接口发送一个option的请求,我们的接口在接收到这个请求后需要向浏览器返回一个响应头,这个响应头里边需要返回“Access-Control-Allow—Origin”,就是允许哪些域名来访问。还需要返回一个Access—Control-Allow-Methods,允许哪些请求方法访问。 当浏览器接收到这个响应头后,如果允许的域名里边有自己的域名,并且允许的方法里边有自己的这个请求方法,就会提交正式的请求。否则就会跨域失败。 解决方案请参考:https://www.cnblogs.com/itmacy/p/6958181.html
阅读 38 评论 0 收藏 0
阅读 38
评论 0
收藏 0


大王山    2018-07-01 15:08:24   

世界杯
阅读 71 评论 1 收藏 0
阅读 71
评论 1
收藏 0


个人信息

账号 : renwenhui
昵称 : 大王山
文章 : 2 篇
关注 :
个人网站 :
注册时间 : 2018-07-01
热门文章
最近来访