✏️
ComputerNetwork
  • 目錄
  • Dev Rules
    • Git for Professionals
  • Stack / Heap
  • 程式之間的差異
  • TCP/IP - application layer
    • N - DNS
    • N SSH
      • 公鑰 / 私鑰
    • HTTP
      • URL
      • HTTP/1.X
      • HTTP/2.0
      • HTTP 3.0
      • 請求 / 回應 Header
        • Request 請求
        • Response 回應
      • 同源政策
      • 協商機制
        • Session Tracking
        • HTTP 快取
    • Socket / WebSocket
    • N RPC
  • TCP/IP - transport layer
    • TCP / UDP 協議
    • N - SSL / TLS
  • N TCP/IP - Internet layer
    • IP
    • router
    • gateway
  • N TCP/IP - link layer
    • LAN / WAN
  • File Permission
  • Web
    • 瀏覽器 請求/回應 流程圖
    • 資訊安全
      • OWASP
      • XSS
      • CSRF
    • 單點登入(SSO)
      • OAuth
      • N Open ID
      • SAML
    • 效能優化
      • 避免阻礙渲染
      • 減少網路請求
      • 暫存圖片 / 實際位置轉移
    • CI / CD
  • Test
    • XXX
Powered by GitBook
On this page
  • DOM的同源政策
  • Cross-origin Resource Sharing (CORS) - 跨域資源共享
  • 待預檢(with Preflight)
  • WebSocket
  • 參考資料

Was this helpful?

  1. TCP/IP - application layer
  2. HTTP

同源政策

DOM的同源政策

JSONP

<link>、<script>、<iframe> 、<video> 等等具跨域能力,透過 GET 請求方式取得資源。

Cross-origin Resource Sharing (CORS) - 跨域資源共享

簡單(Simple)

  1. 方法只能是 HEAD、GET、POST。

  2. 可用標頭,只能是 Accept、Accept-Language、Content-Language、Last-Event-ID 及Content-Type(application/x-www-form-urlencoded、multipart/form-data、text/plain)。

  3. 透過伺服器端 Access-Control-Allow-Origin (ACAO) 控制。

另外可透過 Access-Control-Allow-Credentials,判斷是否發送cookie。

也可透過 Access-Control-Expose-Headers,來決定回應標頭。

待預檢(with Preflight)

  1. 瀏覽器可透過 OPTIONS 試探伺服器是否符合,並附上以下資訊:

  • Access-Control-Allow-Origin( ACAO , 來源)

  • Access-Control-Request-Method / Access-Control-Allow-Methods (請求方法)

  • Access-Control-Request-Header / Access-Control-Allow-Headers (標頭)

WebSocket

該協議不實行同源政策,只要服務器支持就可以跨網域連接。

參考資料

PreviousResponse 回應Next協商機制

Last updated 4 years ago

Was this helpful?

https://blog.techbridge.cc/2018/08/18/cors-issue/
https://zhuanlan.zhihu.com/p/38972475
http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html