同源策略&跨域

最新推荐文章于 2026-06-20 08:05:52 发布
原创 最新推荐文章于 2026-06-20 08:05:52 发布 · 400 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#前端 #javascript #html5
本文探讨了同源策略的基本概念,包括其定义、作用和浏览器对跨域请求的拦截。重点介绍了JSONP和CORS两种解决跨域问题的方法,以及它们的优缺点和在实际开发中的应用,适合了解前端开发者和浏览器安全的读者。

同源策略

同源是什么?

如果两个页面的协议域名端口都相同,则两个页面具有相同的源

同源策略是什么?

同源策略是浏览器提供的一个安全功能

浏览器规定,A网站的Javascript,不与许和非同源的网站C之间进行资源的交互

例如:

  • 无法读取非同源网页的Cookie,LocalStorage和IndexedDB
  • 无法接触非同源网页的DOM
  • 无法向非同源地址发送Ajax请求

跨域

跨域是什么?

同源指的是两个URL的协议,域名,端口一致,反之则是跨域

出现跨域的根本原因是?

浏览器的同源策略不不允许非同源的URL之间进行资源的交互

浏览器对跨域请求的拦截

浏览器允许发起跨域请求,但是跨域请求回来的数据,会被浏览器拦截,无法被页面获取到

如何实现跨域数据请求

最主要的两种解决方案--------JSONP&CORS

JSONP:

1、JSONP是JSON的一种 “使用模式”,可以用于解决主流浏览器的跨域数据访问的问题

2、实现原理

由于浏览器同源策略的限制,网页中无法通过Ajax请求非同源的接口数据,但是<script>标签不受浏览器同源策略影响,可以通过scr属性请求非同源的js脚本,因此JSONP的实现原理就是通过<script>标签的src属性,请求跨域的数据接口,并通过函数调用的形式接收跨域接口响应回来的数据

3、JSONP的优缺点:

  • 优点:出现早,兼容性好(兼容低版本浏览器)
  • 缺点:只支持GET请求,不支持POST请求

⚠️ JSONP和Ajax之间没有任何关系,不能把JSONP请求数据的方式叫做Ajax,因为JSONP没有用到XMLHttpRequest对象

4、jQuery中的JSONP

jQuery提供的$.ajax()函数,除了可以发起真正的Ajax数据请求之外,还能够发起JSONP数据请求

默认情况下,使用jQuery发起JSONP请求会自动携带一个callback=jQueryxxx的参数,jQueryxxx是随机生成的一个回调函数名称

5、jQuery中JSONP的实现过程

通过动态创建和移除<script>标签的方式发起JSONP

CORS:

  • 优点:支持GET和POST请求
  • 缺点:出现较晚,不兼容某些低版本的浏览器

MYNN13
关注
C++ 通过mongoose 实现http server 解决问题
moyebaobei1的博客
10-19 2719
最近重新使用了mongoose用来监听http的调用,但是遇到了问题。人生的每一次其实是突破阶层的过程,这种变化不亚于量变到质变。不可以理解为在同一阶层活动,触碰不到边界,也不需要激发能量,实现跃迁。 这里说的问题是要突破当前服务,访问别的服务上的资源,由于种种原因被做了限制。所以浏览器提醒你了,就像火车或者人出轨一样,你超出了“原来”的活动范围。 的严格一点的定义是...
redis + vue + springcloud 实现 sso 单点登录
weixin_34391854的博客
06-08 1065
1、概述 SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。比如天猫和淘宝,都进入登录页面,都要求你登录的,现在你在淘宝处登录后,直接在天猫处刷新,你会发现,你已经登录了。 2、sso实现原理图 1、本demo原理图 2、原理图2 3、遇到的问题 1、同源策略 同源策略,它是由Netscape提出的一个著名的安全...
AJAX_违反了同源策略_就是""——jsonp 和 cors
aof26372的博客
12-24 207
https 协议 默认端口号 443 http 协议 默认端口号 80 同源策略 由网景公司提出的——浏览器 的 为了浏览器安全而生 同源策略: 协议、名、端口号 必须完全一致 违背同源策略,就是 问题只存在于 AJAX 中____浏览器的 AJAX 引擎检测出来的问题____绕开这个引擎 由于,直接导致无法获取响应数据 1. jsonp...
什么是浏览器访问操作,js如何实现
m0_65185436的博客
01-09 759
n\n是可以的,当请求接口返回的数据需要稍微处理下。一般我们会先协商好需要被调用的方法及参数(fun),然后动态创建一个script标签,并设置该标签的src为url,最后插入到文档中,插入后,浏览器会自动发起http的get请求,下载完成后将会执行后台返回的js语句(后台调用前台)。的严格一点的定义是:只要 协议,名,端口有任何一个的不同,就被当作是\n\n这里说明一下,无法是浏览器对于用户安全的考虑,如果自己写个没有同源策略的浏览器,完全不用考虑问题了。
基于java Web 训练管理系统设计与实现 源码 论文
qq_251836457的博客
06-17 1184
用户信息实体,主要包括 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 等信息实体。1 用户( 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 )讨论信息实体,主要包括 讨论编号,疑问,说明,发布人,发布时间,状态,回答 等信息实体。系统主要用户实体,班级实体,排实体,科目实体,成绩实体,教学视频实体,教学理论实体,讨论实体,如图所示。班级信息实体,主要包括 班级编号,班级 等信息实体。
WebRTC AudioProcessing模块全景:AEC、NS、AGC、VAD一文讲清
琅嬛福地
06-15 138
`AudioProcessing` (APM) 是 WebRTC 的"音频 3A 引擎",集成了回声消除(AEC)、噪声抑制(NS)、自动增益控制(AGC)、语音活动检测(VAD)等模块。理解 APM 的模块组合、参数配置和调试方法,是优化通话质量、降低背景噪声、提升语音清晰度的关键。
Node.js + Express 入门实战笔记-03-CORS
weixin_47138303的博客
06-18 251
浏览器会发请求,但若响应里没有合适的 CORS 头,浏览器会拦截 JS 读取响应,控制台才报 CORS 错。允许请求携带 Cookie、 TLS 客户端证书(很少见)、HTTP 基本认证(浏览器弹窗那种,很少见)等凭证。预检通过后,浏览器才发真正的 POST(带 Authorization)是服务器通过响应头告诉浏览器「这个请求我允许」的机制。所以 React(10086)请求 API(8080)属于。预检时声明客户端(浏览器)可以带哪些非简单请求头。浏览器缓存预检结果,减少重复 OPTIONS。
Vue2 + flv.js 对接海康威视摄像头实现数据大屏实时视频监控(完整方案)
pony君的博客
06-18 267
本文介绍了在Vue2数据大屏中对接海康威视摄像头的完整方案,解决浏览器无法直接播放RTSP流的问题。通过对比HTTP-FLV、HLS、WebRTC等技术方案,最终采用HTTP-FLV为主+HLS为备选的策略,利用flv.js和hls.js实现低延迟视频监控。文章详细说明了整体架构设计、前端实现代码(包括分屏布局、播放器初始化等关键代码),并分享了实际项目中的技术选型经验和解决方案。该方案适用于工业MES系统、仓储管理等需要实时监控的场景,支持2x2/4x4分屏切换,已在淀粉厂MES系统中成功应用。
AI+时代的前端开发:框架演进、职业重构与未来十年展望
心有猛虎细嗅蔷薇
06-18 342
前端开发并未"死亡",而是在 AI 的催化下经历一场深刻的范式转移。从"页面组装工"到"体验架构师",从"技术执行者"到"AI 协作者"——这场变革淘汰的是固守旧范式的从业者,奖励的是拥抱变化、持续进化的学习者。未来十年,大前端的边界将被彻底打破,而站在技术与产品交汇点的全栈工程师,将成为最稀缺的资源。对于 Vue 生态的开发者而言,2026 年是一个关键节点:Vapor Mode 的成熟标志着 Vue 进入"易用且极致"的新时代,Nuxt 4 的全栈能力让 Vue 开发者可以触达更广阔的技术领
当 Agent 接管操作系统:鸿蒙 PC“第二操作系统”架构解析
qq_36863796的博客
06-17 2423
文章摘要: 随着AI时代的到来,传统操作系统(如Windows、HarmonyOS等)聚焦的“资源管理”模式正面临挑战。未来软件系统的核心需求转向“目标管理”,催生了运行于操作系统之上的“第二操作系统”——Agent Runtime。它承担任务规划、上下文管理、工具调度等新职责,形成“目标驱动”的新架构。HarmonyOS PC可能率先实现双层Runtime架构:底层HarmonyOS Kernel管理硬件资源,上层Agent Runtime与Workspace Runtime协同处理任务、上下文及工具调度
构建去中心化社交图谱:Lens + IPFS + EVM
ak123sbksn的博客
06-17 463
LensGraph SDK 的价值不在“又一个社交 DApp”,而在于提供最小可行图谱原语——它不存储、不索引、不运营,只做链上事实的翻译器。当你把嵌入钱包插件、D投票ao 页面、甚至硬件钱包固件时,Web3 社交才真正开始生长出自己的根系。✅ 当前 SDK 已开源:[github.com/lensgraph/sdk]9https://github.com/lensgraph/sdk)(MIT License)✅ 支持 TypeScript / ESM / Deno / Bun。
WebRTC线程模型进阶:Network、Worker、Signaling线程如何协作
琅嬛福地
06-13 169
Network负责所有 socket I/O 与 ICE,Worker跑编解码、设备采样、音频 3A、Signaling承接 PeerConnection 公共 API 与 Observer 回调。理解三者职责与"线程任务投递"是写好 SDK、避免死锁和回调错乱的前提。
知识库问答实战(2):关键接口设计
weixin_46253270的博客
06-17 198
按主链五步映射 API:上传 202 + KB 级 job、轮询 index-jobs、流式 chat。细说三接口契约,以及 citations 可追溯、request_id 排障、错误码与 kb 归属等接口设计要点。
TypeScript 基础入门:在 Vue/uni-app 项目中理解常见类型
前端开发努力中!
06-17 255
TypeScript 基础类型在 Vue/uni-app 中的应用 本文介绍了 TypeScript 在 Vue/uni-app 项目中的基础类型用法,包括: 类型推断:自动推断变量类型 函数类型:参数和返回值类型约束 字面量类型:限制变量为固定值 联合类型:变量可为多种类型之一 any与unknown:处理不确定类型,unknown更安全 类型断言:强制指定类型 void与never:函数返回值类型 Vue中ref的泛型写法:明确响应式数据类型 文章通过实际代码示例,对比了不同类型的特点和使用场景,特别强
从实战踩坑到架构优化 ——Tauri 转 Web 项目的深度避坑与工程化思考
赵得C
06-17 336
摘要: 本文深度剖析Tauri应用迁移为纯Web应用的技术挑战与解决方案。聚焦工程化踩坑、底层原理、代码优化及长期维护四大维度,结合HuLa即时通讯项目实战经验,解析高频报错根源(如原生窗口API冲突、请求规则差异、WebSocket生命周期管理等),并提出分层适配架构(windowAdapter/requestAdapter/wsAdapter)实现环境解耦。关键优化包括:统一环境判断与常量管理、ESLint自动化校验、双端并行架构设计等,强调“以后端为基准”的契约标准化。适用于需兼顾功能迁移与长期可
山东大学软件学院项目实训-创新实训-计科智伴(六)——个人博客(后端运行后真实调整)
2401_83166453的博客
06-14 336
本文记录了前后端联调阶段的关键问题与解决方案,主要包含以下内容:1. App端SSE流式通信适配问题,通过renderjs+XMLHttpRequest桥接实现平台兼容;2. Markdown渲染优化,引入marked和highlight.js实现代码高亮;3. 解决AI接口Jackson反序列化异常,调整未知字段处理策略;4. 全面UI优化,包括对话气泡、动画效果和图片自适应;5. 知识前测与AI学情报告功能实现;6. 数据库知识点和题目补充;7. 修复数据一致性问题,如个人资料更新、聊天历史渲染等。这
福建html+css+js 5
卡拉米
06-17 155
本文介绍了一个旅游主题静态网站的设计与实现方案。网站采用HTML5+CSS3技术构建,包含轮播图等交互效果,兼容主流浏览器。文章详细说明了网站布局、程序、素材和文件结构,提供了HTML轮播图代码示例,并分享了学习建议:初学者可通过刷题巩固基础。最后作者邀请读者点赞、评论、收藏,并提供了获取更多前端资源的途径。
Active Workspace的全局通知横幅
潇潇_零度的博客
06-15 211
摘要: 官方Web框架7.1.0新增BannerService功能,支持在页面顶部展示多语言横幅公告。管理员通过配置首选项(Preference),即可在指定日期范围内全局显示公告。建议提前设置生效时间(如维护前一周),确保用户及时知晓。修改配置后需刷新页面或清除缓存生效。该功能适配多语言环境,前端通过js/bannerService实现。
openclaw后端对接本地大模型搭建智能客服
最新发布
liuyicenysabel的博客
06-20 195
楼主目前电脑配置不够,无法更好的训练自己的本地模型,当然本地模型比不上云端模型。而且对于本地模型可以自己训练自己的专属知识库,让智能客服回答问题最新最精准。对于openclaw的扩展,我们可以在下载openclaw源码基础上。比如豆包的火山引擎,deepseek,哈哈,多模态更是有点拉了。如果大家有什么好的学习资料,欢迎评论区留言哦。修改ui部分,自定义开发前端。搭建属于自己的智能客服。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值