当前位置 > it书童 > 编程 > 正文

同源政策与跨域请求

编程 it书童 2020-02-08 11:41:37 0赞 0踩 474阅读 0评论

同源政策

1995年,同源政策由 Netscape(网景) 公司引入浏览器。目前,所有浏览器都实行这个政策。

最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页同源。所谓同源指的是三个相同。

  • 协议相同(http https)

  • 域名相同

  • 端口相同(默认80端口)

随着互联网的发展,同源政策越来越严格,目前非同源的站点发出请求会受到以下限制

  • Cookie无法读取。

  • DOM 无法获得。

  • JAX 请求无效(可以发送,但浏览器会拒绝接受响应)

跨域请求

违反了同源政策,就属于跨域请求

新建 index.html

<script>
    var xhr = new XMLHttpRequest();
    xhr.open('get', 'http://local.b.com');
    res = xhr.send();
</script>

服务端的响应 index.php

echo "汝何人?敢入我室";

这种情况下,请求依然是有发出到服务端的,可以从网络请求中看到,但客户端无法获取相应的数据

用代理的方式

$host = 'local.b.com';
$url = 'http://local.b.com/index.php';
$ip = '127.0.0.1';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, str_replace($host, $ip, $url));
curl_setopt($ch, CURLOPT_HTTPHEADER, array("Host: {$host}"));
curl_setopt($ch,CURLOPT_TIMEOUT,5);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_BINARYTRANSFER, true);
$html = curl_exec($ch);
curl_close($ch);
echo $html;

此时,控制台就不会有报错信息了

这种方式肯定是不可持续的,多了个中间商的环节,平添了许多成本

最好的方式当然是直接对话,此时就需要让客户端携带一个标识,服务端检测到标识后放行

cors

header('Access-Control-Allow-Origin:*');
echo "谁都可以进来";

开放给所有人

这样显然不安全,可以指定某个网站

$allow = [
    'http://local.a.com',
    'http://local.c.com',
];

// 获取来访域名
$domain = $_SERVER['HTTP_ORIGIN'];
if (in_array($domain, $allow)) {
    header('Access-Control-Allow-Origin:' . $domain);
}
echo "你被翻牌了,今晚就留下吧...";
转载须注明出处:https://www.itshutong.com/articles/426/homology-policy-and-cross-domain-request
关于我
一个文科出身的程序员,追求做个有趣的人,传播有价值的知识,微信公众号主要分享读书思考心得,不会有代码类文章,非程序员的同学请放心订阅
发表评论
我有句话,不知当讲不当讲?
要讲之前请先 登录