本文主要介绍 JSONP、CORS 两种跨域方式，后台采用 Koa 模拟，真正的目标是理解整个跨域的流程。 至于什么是跨域和浏览器同源策略的问题，请同学们自行百度。 JSONP 其实是一种 trick, 利用浏览器对带有 src 标签的能力实现访问跨域数据的小技巧（像 img、…

本文翻译自 Lydia Hallie 小姐姐写的 ✋🏼🔥 CS Visualized: CORS，她用了大量的动图去解释 CORS 这个概念，国内还没有人翻译本文，所以我在原文的理解上翻译了本文并修改了一些错误，希望能帮到大家。 前端开发中，我们经常要使用其他站点的数据。前…

跨域是指去向一个为非本origin(协议、域名、端口任意一个不同)的目标地址发送请求的过程，这样之所以会产生问题是因为浏览器的同源策略限制。看起来同源策略影响了我们开发的顺畅性.实则不然,同源策略存在的必要性之一是为了隔离攻击。 CSRF，又称跨站请求伪造，指非法网站挟持用户c…

本人是一个应届生，面试的时候经常会被问到跨域的问题，CORS当然也是解决跨域的方法之一了。但是当面试官继续问：“CORS跨域是怎么实现的？为什么会有OPTIONS请求呢？OPTIONS请求有什么用途呢？”可能回答的就不是那么完美。 所以，就总结归纳了以下关于CORS的详细知识。…

在开发前后端分离项目时候，我们总会面临一个跨域问题。 众所周知，在以前，跨域可以采用代理、JSONP等方式，而在现代浏览器面前，我们有了更好的选择，CORS。 我们可以通过服务器端设置Access-Control-Allow-Origin响应头，即可使指定来源像访问同源接口一样…

前后端数据交互经常会碰到请求跨域，什么是跨域，以及有哪几种跨域方式，这是本文要探讨的内容。 本文完整的源代码请猛戳github博客，纸上得来终觉浅，建议大家动手敲敲代码。 同源策略是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSR…

可组合性是 Web 的非常强大的一项能力，你可以轻而易举的加载来自不同来源的资源来增强网页的功能，例如：font、image、video 等等。 这些服务非常强大，也很方便，但是这样的策略同样会加大信息泄漏的风险，攻击者可以利用某些手段泄漏你的用户信息。 浏览器在阻止这些攻击上…