关于跨域访问

转自：

https://blog.csdn.net/lambert310/article/details/51683775

什么是跨域？

跨域，指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器施加的安全限制。

所谓同源是指，域名，协议，端口均相同，不明白没关系，举个栗子：

http://www.123.com/index.html 调用 http://www.123.com/server.php （非跨域）

http://www.123.com/index.html 调用 http://www.456.com/server.php （主域名不同:123/456，跨域）

http://abc.123.com/index.html 调用 http://def.123.com/server.php （子域名不同:abc/def，跨域）

http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php （端口不同:8080/8081，跨域）

http://www.123.com/index.html 调用 https://www.123.com/server.php （协议不同:http/https，跨域）

请注意：localhost和127.0.0.1虽然都指向本机，但也属于跨域。

浏览器执行javascript脚本时，会检查这个脚本属于哪个页面，如果不是同源页面，就不会被执行。

解决办法：

1、JSONP：

使用方式就不赘述了，但是要注意JSONP只支持GET请求，不支持POST请求。

2、代理：

例如www.123.com/index.html需要调用www.456.com/server.php，可以写一个接口www.123.com/server.php，由这个接口在后端去调用www.456.com/server.php并拿到返回值，然后再返回给index.html，这就是一个代理的模式。相当于绕过了浏览器端，自然就不存在跨域问题。

3、PHP端修改header（XHR2方式）

在php接口脚本中加入以下两句即可：

header('Access-Control-Allow-Origin:*');//允许所有来源访问

header('Access-Control-Allow-Method:POST,GET');//允许访问的方式

转自：https://www.cnblogs.com/hawk-whu/p/6725699.html

nginx跨域配置

 

    首先，贴上nginx work的配置

server{
listen 8099;
server_name wdm.test.cn;
location / {

　　// 没有配置OPTIONS的话，浏览器如果是自动识别协议(http or https)，那么浏览器的自动OPTIONS请求会返回不能跨域
　　if ($request_method = OPTIONS ) {
　　　　add_header Access-Control-Allow-Origin "$http_origin";
　　　　add_header Access-Control-Allow-Methods "POST, GET, PUT, OPTIONS, DELETE";
　　　　add_header Access-Control-Max-Age "3600";
　　　　add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization";
　　　　add_header Access-Control-Allow-Credentials "true";
　　　　add_header Content-Length 0;
　　　　add_header Content-Type text/plain;
　　　　return 200;
　　}
　　add_header 'Access-Control-Allow-Origin' '$http_origin';
　　add_header 'Access-Control-Allow-Credentials' 'true';
　　add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS';
　　add_header 'Access-Control-Allow-Headers' 'Content-Type,*';
　　proxy_pass http://127.0.0.1:8080;
　　}
}

    其次，既然碰到了就想理解下为什么需要这样，一开始脑袋还真钻进去了。

   以下引自知乎：

• DOM同源策略：禁止对不同源页面DOM进行操作
• XmlHttpRequest同源策略：禁止向不同源的地址发起HTTP请求

AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略，攻击过程如下：
我们发起的每一次HTTP请求都会全额发送request地址对应的cookie，那么

1. 用户登录了自己的银行页面http://MyBank.com，http://MyBank.com向用户的cookie中添加用户标识
2. 用户浏览了恶意页面 http://Evil.com。执行了页面中的恶意AJAX请求代码
3. http://Evil.com向http://MyBank.com发起AJAX HTTP请求，请求同时http://MyBank.com对应cookie也同时发送过去
4. 银行页面从发送的cookie中提取用户标识，验证用户标识无误，response中返回请求数据。此时数据泄露。
5. 由于Ajax的后台执行，此时用户没有意识这一过程。

     引用内容完毕。

     从上面这段文字可知，如果在不需要服务器允许的前提下就能够进行跨域ajax请求的话，那么一个黑客网站只要你用了，那么你登录

过的其它系统的用户信息他都可以获取得到。

 

     好吧，再引一段 

        简单的说，你把Cookie托付给浏览器保存，浏览器要保证你的Cookie不被恶意网站利用。

        同源策略并不能防止DDos，因为跨域的Ajax也会被请求，如果http://Evil.com用Ajax请求http://MyBank.com，浏览器会先发出 

   请求，并且带上http://MyBank.com的Cookie。拿到http://MyBank.com的响应之后（可能有敏感数据），浏览器才会根据Header

   里的Access-Control-Allow-Origin决定是否把结果交给http://Evil.com里的脚本。（或者先发一个OPTIONS请求看一下CORS设

   置，再决定是否要发真正的请求。）

       因此浏览器只是起到了最基本的防御，在写程序的时候还是要注意防御CSRF，比如关键操作不要用GET，POST请求要做额外的验证（

   验证码，随机数，Refer，Token）等等。

    引用完毕，，不过有个疑问出现了，上面我提到OPTIONS是因为查询协议需要的，但是从这里来看就是去看看

跨域设置而已。希望有懂的朋友帮忙确定一下。

以上知乎内容转自：https://www.zhihu.com/question/20138568/answer/52659925

看下百度百科对同源策略的说法：

同源策略，它是由Netscape提出的一个著名的安全策略。

现在所有支持JavaScript 的浏览器都会使用这个策略。

所谓同源是指，域名，协议，端口相同。

当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面

当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的，

即检查是否同源，只有和百度同源的脚本才会被执行。[1] 

如果非同源，那么在请求数据时，浏览器会在控制台中报一个异常，提示拒绝访问。

 

同源策略的精髓很简单：它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时，

它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。

 

就是说浏览器不允许你进行跨域操作，但是也开了个口子，如果某服务就是希望大家在哪都能调用我，当然一般情况下是公司内部不同项目之间调用

用到这种场景较为平常，不然你写个谁都可以攻击你的网站干啥呀，让别人在脚本可以调用你的服务对你的服务器而言没有用，产品也没有增大曝光率，

简直百害而无一利。

 

 顺便转转讲XSS、CSRF的博文：

http://blog.csdn.net/ghsau/article/details/17027893

http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html