Web瀏覽器的 Same-origin policy (同源政策)
一串網址其實是這樣組成的:
scheme://host.domain:port/path/filename
舉例如下:
http://www.yahoo.com:8080/html/hello.php
http = scheme
www = host
yahoo.com = domain
8080 = port
html = path
hello.php = filename
所謂的同源,意思是scheme, host, domain, port 都一樣,就是同源。
同源政策是瀏覽器基於安全性考量而存在的一個政策,針對瀏覽器指令碼的限制。
假如今天我設計一個網站,透過ajax去拿別人的網頁資料,因為不同源,違反同源政策,js就無法拿到回傳的資料。
當然如果我不透過瀏覽器,就沒有這個限制了。
若是單純的把別人網站的img嵌入自己的網站,或是轉址到別人網站,或將別人網站用iframe嵌入自己網站,使用<script src="xxx"></script>,import css等等,則不受同源政策限制。
同源政策是瀏覽器基於安全性考量而存在的一個政策,針對瀏覽器指令碼的限制。
假如今天我設計一個網站,透過ajax去拿別人的網頁資料,因為不同源,違反同源政策,js就無法拿到回傳的資料。
當然如果我不透過瀏覽器,就沒有這個限制了。
若是單純的把別人網站的img嵌入自己的網站,或是轉址到別人網站,或將別人網站用iframe嵌入自己網站,使用<script src="xxx"></script>,import css等等,則不受同源政策限制。
那麼有沒有什麼方式,可以讓我的javascript可以拿到不同源的資料呢?
有的,這邊就要提到CORS了,請參考下一篇。
有的,這邊就要提到CORS了,請參考下一篇。
#本筆記參考:
1. https://webmasters.stackexchange.com/questions/69477/how-to-understand-scheme-host-domainport-path-filename
2. https://blog.kennycoder.io/2019/12/08/%E5%90%8C%E6%BA%90%E6%94%BF%E7%AD%96-Same-Origin-Policy-%E5%8E%9F%E7%90%86%E4%BB%8B%E7%B4%B9/
3. https://cms.aaasec.com.tw/index.php/2019/04/28/k_04/
4. https://www.runoob.com/html/html-url.html
1. https://webmasters.stackexchange.com/questions/69477/how-to-understand-scheme-host-domainport-path-filename
2. https://blog.kennycoder.io/2019/12/08/%E5%90%8C%E6%BA%90%E6%94%BF%E7%AD%96-Same-Origin-Policy-%E5%8E%9F%E7%90%86%E4%BB%8B%E7%B4%B9/
3. https://cms.aaasec.com.tw/index.php/2019/04/28/k_04/
4. https://www.runoob.com/html/html-url.html
為什麼會看到廣告
21會員
161內容數
留言
留言分享你的想法!
你可能也想看
Google News 追蹤
靈感用盡、鍵盤不再響,盯著喜歡、分享、留言的數字,心跳跟著小鈴鐺七上八下⋯⋯vocus 2025 年 4 月限定新商品,要為創作者打氣!
🚨「創作者打氣包」 最懂創作者的vocus,為創作者打造
✨ 打氣包,包什麼?!四件道具挺創作者
一、【打氣復活卷】
專屬你的打氣小語,成功登記免費
全新 vocus 挑戰活動「方格人氣王」來啦~四大挑戰任你選,留言 / 愛心 / 瀏覽數大 PK,還有新手專屬挑戰!無論你是 vocus 上活躍創作者或剛加入的新手,都有機會被更多人看見,獲得站上版位曝光&豐富獎勵!🏆
在這篇教學文章中,我們將展示如何使用 Node.js 建立一個簡單的伺服器,並解決常見的跨來源資源共享(CORS)問題,確保伺服器能夠接收並處理來自不同來源的資料。
自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。
而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
※ 原本狀態:伺服器渲染
這是 MVC 架構下的 request / response 示意圖,在這張圖呈現的架構裡,畫面和資料都由同一個架構處理。
伺服器渲染流程:
瀏覽器針對特定網址送出請求。
路由器解析請求後,轉接給對應的 controller。
controller 按照要求,透過
最近觀察到許多網站有一個特性,就是有些網站會使用不同的模板做同一個關鍵字。
很多開發者在做產品的時候會有一個特性,就是會使用相同的模板。使用相同模板的好處不外乎是減少重複開發的時間、快速上站。
因為其實在程式開發中有很多功能可能是相似甚至是重複的。在這種情況下我們不應該重複去開發相同功能,而
※ Javascript和HTML的關係
當我們輸入新的網址或按下重新整理時,從解析檔案到畫面顯示出來,瀏覽器會進行以下流程:
解析 HTML / CSS 檔案,建立物件模型:
HTML → DOM (Document Object Model)。
CSS → CSSOM (CSS Obje
之前在【什麼是網路請求(HTTP response)】筆記裡有提到,網路請求遇到 CORS 跨域問題,在開發時可以透過 vite 的反向代理來解決,那麼什麼是反向代理,有反向代理的話是不是也有正向代理呢?
在開發前後端分離架構時,使用兩個不同網域所遇到跨域請求問題。特別是在POST請求時行為差異大,揭示了「簡單請求」與「預檢請求」的關鍵差異。簡單請求不需預檢,但application/json會觸發預檢請求,需透過特定設定解決。分享這篇文章希望幫助開發者有效處理跨域問題。
之前分享過【網路請求帶參數的方式】,開發者可以透過 URL 代入參數,來向伺服器請求特定的資源,我們當然也可以擷取 URL 的內容,來做為後續開發的判斷條件,這篇就來記錄一下,網址(URL) 和域名(Domain) 是什麼,以及如何取得網址的參數吧!
我們常說的網址連結 URL 完整名稱是 U
描述我所瞭解的 Web 攻擊技術
何謂網路攻擊?
駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。
例如:
XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全
Accept:用戶端能夠接收的內容類型。
Accept: text/plain, text/html
Accept-Charset:瀏覽器可以接受的字元編碼集。
Accept-Charset: utf8
Accept-Encoding:指定瀏覽器可以支援的web伺服器返回內容壓縮編碼
靈感用盡、鍵盤不再響,盯著喜歡、分享、留言的數字,心跳跟著小鈴鐺七上八下⋯⋯vocus 2025 年 4 月限定新商品,要為創作者打氣!
🚨「創作者打氣包」 最懂創作者的vocus,為創作者打造
✨ 打氣包,包什麼?!四件道具挺創作者
一、【打氣復活卷】
專屬你的打氣小語,成功登記免費
全新 vocus 挑戰活動「方格人氣王」來啦~四大挑戰任你選,留言 / 愛心 / 瀏覽數大 PK,還有新手專屬挑戰!無論你是 vocus 上活躍創作者或剛加入的新手,都有機會被更多人看見,獲得站上版位曝光&豐富獎勵!🏆
在這篇教學文章中,我們將展示如何使用 Node.js 建立一個簡單的伺服器,並解決常見的跨來源資源共享(CORS)問題,確保伺服器能夠接收並處理來自不同來源的資料。
自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。
而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
※ 原本狀態:伺服器渲染
這是 MVC 架構下的 request / response 示意圖,在這張圖呈現的架構裡,畫面和資料都由同一個架構處理。
伺服器渲染流程:
瀏覽器針對特定網址送出請求。
路由器解析請求後,轉接給對應的 controller。
controller 按照要求,透過
最近觀察到許多網站有一個特性,就是有些網站會使用不同的模板做同一個關鍵字。
很多開發者在做產品的時候會有一個特性,就是會使用相同的模板。使用相同模板的好處不外乎是減少重複開發的時間、快速上站。
因為其實在程式開發中有很多功能可能是相似甚至是重複的。在這種情況下我們不應該重複去開發相同功能,而
※ Javascript和HTML的關係
當我們輸入新的網址或按下重新整理時,從解析檔案到畫面顯示出來,瀏覽器會進行以下流程:
解析 HTML / CSS 檔案,建立物件模型:
HTML → DOM (Document Object Model)。
CSS → CSSOM (CSS Obje
之前在【什麼是網路請求(HTTP response)】筆記裡有提到,網路請求遇到 CORS 跨域問題,在開發時可以透過 vite 的反向代理來解決,那麼什麼是反向代理,有反向代理的話是不是也有正向代理呢?
在開發前後端分離架構時,使用兩個不同網域所遇到跨域請求問題。特別是在POST請求時行為差異大,揭示了「簡單請求」與「預檢請求」的關鍵差異。簡單請求不需預檢,但application/json會觸發預檢請求,需透過特定設定解決。分享這篇文章希望幫助開發者有效處理跨域問題。
之前分享過【網路請求帶參數的方式】,開發者可以透過 URL 代入參數,來向伺服器請求特定的資源,我們當然也可以擷取 URL 的內容,來做為後續開發的判斷條件,這篇就來記錄一下,網址(URL) 和域名(Domain) 是什麼,以及如何取得網址的參數吧!
我們常說的網址連結 URL 完整名稱是 U
描述我所瞭解的 Web 攻擊技術
何謂網路攻擊?
駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。
例如:
XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全
Accept:用戶端能夠接收的內容類型。
Accept: text/plain, text/html
Accept-Charset:瀏覽器可以接受的字元編碼集。
Accept-Charset: utf8
Accept-Encoding:指定瀏覽器可以支援的web伺服器返回內容壓縮編碼