access-control-allow-origin

同源策略： 如何引用: (iFrame指的是iframe DOM节点) 1. 引用iframe的window对象：iFrame.contentWindow 2. 引用iframe的document对象：iFrame.contentDocument，或者：iFrame.contentWindow.document 示例： 两个页面，前者页面中嵌入iframe，src指向后者： 1. test.nuomi.com/link1.vm 2. nuomi.com/link2.vm； 同源要求：Protocols, domains, and ports均相同 子域名不同的两个站:test.nuomi.com, nuomi.com，如果要通信， 都 必须设置为统一的域名：document.domain=nuomi.com； 即使其中一个已经是域名：nuomi.com，仍然需要 明确调用 ：document.domain=nuomi.com； document.domain设值： 1. 只能是当前域名的suffix，否则报错：Uncaught SecurityError: Failed to set the 'domain' property on 'Document': 'test' is not a suffix of 'test.nuomi.com'. 2. 设值为com也会报错：'com'

CORS跨域 解决跨域的方案 目前比较常用的跨域解决方案有3种： Jsonp 最早的解决方案，利用script标签可以跨域的原理实现。 限制： 需要服务的支持 只能发起GET请求 nginx反向代理 思路是：利用nginx把跨域反向代理为不跨域，支持各种请求方式 缺点：需要在nginx进行额外配置，语义不清晰 CORS 规范化的跨域请求解决方案，安全可靠。 优势： 在服务端进行控制是否允许跨域，可自定义规则 支持各种请求方式 缺点： 会产生额外的请求 我们这里会采用cors的跨域方案。 什么是cors CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 浏览器端： 目前，所有浏览器都支持该功能（IE10以下不行）。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。 服务端： CORS通信与AJAX没有任何差别，因此你不需要改变以前的业务逻辑。只不过，浏览器会在请求中携带一些头信息，我们需要以此判断是否允许其跨域，然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。 6.3.2.原理有点复杂

1. 为什么有跨域问题 跨域不一定都会有跨域问题。 因为跨域问题是浏览器对于ajax请求的一种安全限制： 一个页面发起的ajax请求，只能是与当前页域名相同的路径 ，这能有效的阻止跨站攻击。 因此： 跨域问题 是针对ajax的一种限制 。 但是这却给我们的开发带来了不便，而且在实际生产环境中，肯定会有很多台服务器之间交互，地址和端口都可能不同，怎么办？ 2. 解决跨域问题的方案 目前比较常用的跨域解决方案有3种： Jsonp 最早的解决方案，利用script标签可以跨域的原理实现。 限制： 需要服务的支持 只能发起GET请求 nginx反向代理 思路是：利用nginx把跨域反向代理为不跨域，支持各种请求方式 缺点：需要在nginx进行额外配置，语义不清晰 CORS 规范化的跨域请求解决方案，安全可靠。 优势： 在服务端进行控制是否允许跨域，可自定义规则 支持各种请求方式 缺点： 会产生额外的请求 3. cors解决跨域 3.1 什么是cors CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了AJAX只能 同源 使用的限制。 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 浏览器端： 目前

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 应用场景：想从a.com请求b.com上的资源，由于同源策略不允许请求。 解决办法：在请求的php文件中加入 header("Access-Control-Allow-Origin: http://b.com"); 这种比较安全，如果请求来源比较多，可以这么设置 header("Access-Control-Allow-Origin: *"); 如果使用Nginx，需要配置让其支持ajax跨越请求， 参考网址 location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; # # Custom headers and headers various browsers *should* be OK with but aren't # add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since

什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 跨域的根本原因就是浏览器，所以在后台是不存去前端一样上的跨域的，后台调后台是不会跨域的，但是必须网络是通的 广义的跨域： 1.) 资源跳转： A链接、重定向、表单提交 2.) 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http://www.domain.com/a.js http://www.domain

首先我们来想一想 1.跨域是什么呢?为何要跨域? 2.浏览器的同源策略又是什么? 3.跨域的原理又是什么呢? 4.解决跨域有哪些方法? 当两个域具有相同的协议(如http), 相同的端口(如80)，相同的host（如www.google.com)，则认为它们是相同的域（协议，域名，端口都必须相同）,否则就是跨域，如图所示： 同源策略：比如:我在本地上的域名是abc.cn,请求另外一个域名的一段数据，这个时候在浏览器上会报错，这个就是同源策略的保护。如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险 限制跨域访问作用 限制跨域资源访问的作用可从服务器和客户端两个方面进行分析： 1、对于服务器，当收到一个请求时，会检查该请求来源，如果来源的客户端页面自己无法识别，而且服务器的数据又是比较敏感的，则可能做出限制或者拒绝访问（例如，黑客对服务器的攻击）。 2、对于客户端，浏览器的同源策略可限制对跨域资源的访问，若其与服务器的域不相同，则浏览器可能进行限制甚至拒绝访问（例如，黑客通过让你访问他的服务器数据来攻击你的客户端页面）。 跨域访问失败时，实际上浏览器发送请求成功，浏览器也接收到了响应，但是它会限制xmlhttprequest接受响应并在js控制台报错。 跨域解决方案 1、 通过jsonp跨域 2、 document.domain + iframe跨域

什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 广义的跨域： 1.) 资源跳转： A链接、重定向、表单提交 2.) 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http://www.domain.com/a.js http://www.domain.com/b.js 同一域名，不同文件或路径 允许 http://www.domain.com/lab/c

什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 广义的跨域： 1、 资源跳转：A链接、重定向、表单提交 2、 资源嵌入： < link>、 < script> 、 < img>、 < frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3、 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1、Cookie、LocalStorage 和 IndexDB 无法读取 2、 DOM 和 Js对象无法获得 3、 AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http://www.demo.com/a.js http://www.demo.com/b.js 同一域名，不同文件或路径 允许 http://www.demo.com/lab/c.js

什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 广义的跨域： 1.) 资源跳转： A链接、重定向、表单提交 2.) 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http://www.domain.com/a.js http://www.domain.com/b.js 同一域名，不同文件或路径 允许 http://www.domain.com/lab/c

　　CORS(Cross-Origin Resource Sharing, 跨源资源共享)是W3C出的一个标准，其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通，从而决定请求或响应是应该成功，还是应该失败。因此，要想实现CORS进行跨域，需要服务器进行一些设置，同时前端也需要做一些配置和分析。本文简单的对服务端的配置和前端的一些设置进行分析。 服务端的配置 本文服务端的代码采用的是node，使用koa,koa-router和koa2-cors。 配置的主要代码如下： app.use(cors({ origin: function(ctx) { const regexp = new RegExp('/CORS'); const regexpWith = new RegExp('/CORSWith'); if (regexpWith.test(ctx.url)) { return `http://${packageData.url}:7000`; } else if(regexp.test(ctx.url)) { return '*' } else if(~String(ctx.url).indexOf('/imgs/')) { return `http://${packageData.url}:7000`; } return false; }, exposeHeaders: