跨域訪問簡單來說就是有兩個網域名稱去同時訪問乙個頁面。提到跨域訪問就很容易想到現在最常見的csrf攻擊。那麼何為csrf攻擊呢?接下來我就簡單的用語言描述一下~
現在有使用者usr,**a,惡意**b。
1、使用者usr去訪問a
2、usr得到了a的cookies
3、在沒有關閉登入**a頁面的情況下登入了惡意**b
4、惡意**b要求訪問**a
5、此時使用者usr帶著步驟2得到的cookies去訪問**a
6、此時**a並不能識別到底是usr要訪問還是惡意**b要訪問,這也就意味著,惡意**b實現了隱藏自己身份,把自己偽裝成usr的目的。
這就是csrf攻擊的大概過程。因為存在csrf攻擊非常不安全,所以大多數瀏覽器是不允許進行跨域訪問的。但是跨域訪問有時候又是需要的,所以我們可以通過設定nginx來實現跨域訪問。因為不太好演示,所以下面我僅列出一些配置語法:
adder_header name value;
name是http reponse header中的內容。
value代表了允許哪些**進行跨域訪問,如果允許全部**進行跨域訪問,則可將value用*表示。(當然了,為了安全考慮,盡量不要將value設定為 *).
在這裡可以舉兩個例子:
add_header acesss-control-allow-origin *;
add_header access-control-allow-methods get post;
跨域訪問(nginx)
注意 jsonp解決跨域只支援get 請求。ajax 需要自己寫個 函式 function onback 後台介面注意 context.response.write jsonp json.tostring trimend control type 2018 03 21 18 50 09string ...
跨域訪問及Nginx解決跨域訪問
同源策略 sameorigin policy 是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現。同源策略是處於對使用者安全的考慮,如果非同源就會受到以下限制 但是事實是經常...
nginx實現跨域訪問
簡單來說 兩個url只要協議 網域名稱 埠有任何乙個不同,都被當作是不同的域,相互訪問就會有跨域問題。例如 在開發前後端完全分離的系統中,服務端 屬於乙個工程,前端 屬於另乙個工程,前端開發人員在進行介面對接時,可能會在webstorm等工具進行編碼,並用webstorm的內建伺服器進行除錯,這就會...