javascript中跨域问题(转载)

  • by

过程是很有趣的:个人测试csrf中利用iframe,一直获取不到属性,就引申出了这个问题;首先搜索获取属性,未果;再搜索csrf的iframe,未果;再搜索iframe的跨域,解决;再搜索js的跨域解决,理通

其中也很花费了时间,如果看一些xss平台,它们的标签都是script,内嵌js脚本( 因为script标签不受同源策略的限制 );其中jsonp也是可能存在信息泄露的问题,以前记录的时候还没有接触到域问题(http://www.naivete.online/jsonp%e6%bc%8f%e6%b4%9e/)

参考:

https://www.jb51.net/article/137677.htm
https://www.cnblogs.com/ssh-html/p/10486726.html
https://www.jb51.net/article/97611.htm
https://blog.csdn.net/qq_38499084/article/details/79005684
https://blog.csdn.net/weixin_39939012/article/details/83822126
https://segmentfault.com/a/1190000015597029
https://juejin.im/post/5c9c38e2e51d452db7007f66
https://segmentfault.com/a/1190000011145364

由于知识更新的点在2016年,不清楚如今的解决方案如何

1、 通过jsonp跨域
2、 document.domain + iframe跨域
3、 location.hash + iframe
4、 window.name + iframe跨域
5、 postMessage跨域
6、 跨域资源共享(CORS)
7、 nginx代理跨域
8、 nodejs中间件代理跨域
9、 WebSocket协议跨域

10、借助script的src跨域加载资源

常用有jsonp、代理、CORS

2019.12.4

发表评论

电子邮件地址不会被公开。 必填项已用*标注