跨域问题的正确理解
首先第一个问题是:跨域问题是谁导致的?
答案是浏览器。一切的罪魁祸首是一种叫 浏览器的同源策略 导致的。
有想深入了解的可以参考这篇文章https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy
第二个问题:什么样的场景才算是跨域?
这里要强调的一件事是,所有的请求都是由用户使用的浏览器发起的。网上有种不严谨的说法:网站www.xxx.com向www.yyy.com发起请求会出现跨域问题。这种说法给人一种误导,似乎跨域是在两个不同域名服务器之间发生的。
网页资源从自己的服务器到达用户电脑后,都是运行在用户浏览器中的,所以请求也是由浏览器发起的。
当网页中js脚本含有对网络中其他服务器的请求时,浏览器会判断脚本所在网页的域名和要请求的url地址的域名是否相同,如果不一致,就会提示跨域。
引申问题:
1、为什么网页中的超链接没有跨域问题?
2、form表单提交为什么没有跨域问题?
这两个问题都属于网页间的跳转,而只有是向其他服务器请求数据时,才会受到同源策略的影响。
附图:一种没有同源策略限制带来的风险
在这里插入图片描述
跨域问题会发生在第4步,如果没有同源策略的限制,因为同样是对A网站的请求,所以这一步请求发起时,浏览器会把第2步保存下来的cookie也携带过去,那么B网站的脚本就可以获取到用户在A网站的账号密码等信息,然后进行其他不安全的操作,比如发回自己的服务器等。
发表评论 (审核通过后显示评论):