同源策略学习总结

Javascript可以操作html,发出请求&＃xff0c;也可以用iframe加载别的网站。

为了防止当前登陆的网站去访问另一个已登录网站的信息&＃xff0c;控制这个请求成功与否就叫同源策略

同源策略明确规定&＃xff1a;不同域的客户端脚本在没明确授权的情况下&＃xff0c;不能读写对方的资源

如何判断是同源&＃xff1a;协议相同&＃43;域名相同&＃43;端口相同

注&＃xff1a;www.example.com和 example.com也不是同一个域名&＃xff0c;因为在设置dns解析的时候&＃xff0c;可以把这个两个域名设置为不同的IP地址。

如果在浏览器中使用fetch("https://example.com")跨源访问其他网站&＃xff0c;则会报错&＃xff08;原因&＃xff1a;CORS 头缺少 &＃39;Access-Control-Allow-Origin&＃39;&＃xff09;

事情没有太绝对&＃xff0c;虽然同源策略是为了保护隐私&＃xff0c;即&＃xff0c;不是同源不可以访问对方的信息

但是在某些实际情况下&＃xff0c;是可以进行协商的

1.jsonp

本质&＃xff1a;跨源的对方给  发出请求的源的一段Javascript脚本执行&＃xff0c;Script标签中的src属性是允许跨源的

2.CORS

原理&＃xff1a;被请求的服务端获取发出请求方的请求后&＃xff0c;给响应头加上Access-Control-Allow-Origin的相关信息&＃xff0c;

浏览器就会放行请求&＃xff0c;让请求方拿到数据

3.WebSocket

WebSocket是一种通信协议&＃xff0c;使用 ws://(非加密)和wss://(加密)作为协议前缀

该协议不实行同源策略&＃xff0c;只要服务器支持&＃xff0c;就可以进行跨源通信