草庐IT

javascript - 规避同源策略的方法

coder 2023-05-01 原文

锁定。这个问题及其答案是locked因为这个问题是题外话,但具有历史意义。它目前不接受新的答案或互动。








同源政策

我想制作一个关于 HTML/JS 的社区维基 同源策略希望能帮助任何搜索此主题的人。这是 SO 上搜索次数最多的主题之一,并且没有统一的 wiki,所以我在这里:)

The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0.



您最喜欢的绕过同源策略的一些方法是什么?

请保持示例详细,最好还链接您的来源。

最佳答案

document.domain方法

  • 方法类型: iframe .

    • 请注意,这是一个 iframe 方法,它将 document.domain 的值设置为当前域的后缀。如果是这样,较短的域将用于后续的源检查。例如,假设文档中的脚本位于 http://store.company.com/dir/other.html执行以下语句:
    document.domain = "company.com";

    执行该语句后,页面将通过 http://company.com/dir/page.html 的原点检查。 .但是,同理,company.com 无法设置 document.domainothercompany.com .

    使用此方法,您将被允许从源自主域的页面上的子域上的 iframe 执行 javascript。此方法不适用于跨域资源,因为 Firefox 等浏览器不允许您更改 document.domain到一个完全陌生的领域。

    来源:https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript

    跨域资源共享方式
  • 方法类型: AJAX .

    • Cross-Origin Resource Sharing (CORS) 是 W3C 工作草案,它定义了浏览器和服务器在跨源访问源时必须如何通信。 CORS 背后的基本思想是使用自定义 HTTP header 来允许浏览器和服务器充分了解彼此,以确定请求或响应是成功还是失败。

    对于一个简单的请求,使用 GETPOST没有自定义标题,正文为 text/plain ,该请求带有一个名为 Origin 的额外 header 发送。 . Origin header 包含请求页面的来源(协议(protocol)、域名和端口),以便服务器可以轻松确定它是否应该提供响应。一个例子 Origin header 可能如下所示:
    Origin: http://www.stackoverflow.com

    如果服务器决定应该允许请求,它会发送一个 Access-Control-Allow-Origin header 回显发送的相同来源或 *如果是公共(public)资源。例如:
    Access-Control-Allow-Origin: http://www.stackoverflow.com

    如果此 header 丢失,或来源不匹配,则浏览器将拒绝该请求。如果一切顺利,浏览器就会处理请求。请注意,请求和响应都不包含 cookie 信息。

    Mozilla 团队在 their post about CORS 中建议您应该检查 withCredentials 是否存在属性来确定浏览器是否通过 XHR 支持 CORS。然后你可以结合 XDomainRequest 的存在覆盖所有浏览器的对象:
    function createCORSRequest(method, url){
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr){
        xhr.open(method, url, true);
    } else if (typeof XDomainRequest != "undefined"){
        xhr = new XDomainRequest();
        xhr.open(method, url);
    } else {
        xhr = null;
    }
    return xhr;
}

var request = createCORSRequest("get", "http://www.stackoverflow.com/");
if (request){
    request.onload = function() {
        // ...
    };
    request.onreadystatechange = handler;
    request.send();
}

    请注意,要使 CORS 方法起作用,您需要有权访问任何类型的服务器 header 机制,而不能简单地访问任何第三方资源。

    来源:http://www.nczonline.net/blog/2010/05/25/cross-domain-ajax-with-cross-origin-resource-sharing/
    window.postMessage方法
  • 方法类型: iframe .
    • window.postMessage ,当被调用时,会导致 MessageEvent当任何必须执行的挂起脚本完成时在目标窗口分派(dispatch)(例如,如果 window.postMessage 从事件处理程序中调用,则剩余的事件处理程序,先前设置的挂起超时等)。 MessageEvent有类型消息,一个 data属性设置为提供给 window.postMessage 的第一个参数的字符串值, 一个 origin对应窗口中主文档原点的属性调用window.postMessage当时window.postMessage被调用,和一个 source属性是从哪个窗口window.postMessage被称为。

    使用 window.postMessage ,必须附加事件监听器:
        // Internet Explorer
    window.attachEvent('onmessage',receiveMessage);

    // Opera/Mozilla/Webkit
    window.addEventListener("message", receiveMessage, false);

    还有一个 receiveMessage函数必须声明:
    function receiveMessage(event)
{
    // do something with event.data;
}

    场外 iframe 还必须通过 postMessage 正确发送事件:
    <script>window.parent.postMessage('foo','*')</script>

    任何窗口都可以在任何其他窗口上访问此方法,无论文档在窗口中的位置如何,都可以随时向其发送消息。因此,任何用于接收消息的事件监听器都必须首先使用源和可能的源属性检查消息发送者的身份。这不能低估:未检查origin可能还有 source属性启用跨站点脚本攻击。

    来源:https://developer.mozilla.org/en/DOM/window.postMessage

    关于javascript - 规避同源策略的方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3076414/

    javascript规避codebrpostMessageajaxsame-origin-policy

    有关javascript - 规避同源策略的方法的更多相关文章

    1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

      我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

    2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

      总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

    3. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

      类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

    4. ruby - Facter::Util::Uptime:Module 的未定义方法 get_uptime (NoMethodError) - 2

      我正在尝试设置一个puppet节点,但ruby​​gems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由ruby​​gems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby

    5. Ruby 方法() 方法 - 2

      我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby​​-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco

    6. ruby-on-rails - Rails 3.2.1 中 ActionMailer 中的未定义方法 'default_content_type=' - 2

      我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer

    7. ruby - Highline 询问方法不会使用同一行 - 2

      设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案

    8. ruby - 主要 :Object when running build from sublime 的未定义方法 `require_relative' - 2

      我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby​​1.9+ 关于ruby-主要:Objectwhenrun

    9. ruby - 多个属性的 update_column 方法 - 2

      我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2

    10. ruby - 检查方法参数的类型 - 2

      我不确定传递给方法的对象的类型是否正确。我可能会将一个字符串传递给一个只能处理整数的函数。某种运行时保证怎么样?我看不到比以下更好的选择:defsomeFixNumMangler(input)raise"wrongtype:integerrequired"unlessinput.class==FixNumother_stuffend有更好的选择吗? 最佳答案 使用Kernel#Integer在使用之前转换输入的方法。当无法以任何合理的方式将输入转换为整数时,它将引发ArgumentError。defmy_method(number)

    随机推荐