교차 도메인 문제

교차 도메인 (transverse domain) 이 무엇인지 살펴보겠습니다.

도메인 간 또는 이질성이란 호스트 이름 (도메인 이름), 프로토콜, 포트 번호가 다를 때마다 다른 도메인 (또는 소스) 입니다. 사용자 데이터 보호를 위해 브라우저에는 가장 기본적인 정책이 있습니다. 즉, 소스 정책은 페이지의 스크립트만 현재 도메인의 리소스 (로드 스크립트, 리소스 등) 에 액세스할 수 있도록 하는 소스 정책입니다. 이에 제한되지 않음).

둘째, 브라우저 공급업체가 도메인 간 요청을 처리하지 않을 경우 어떤 피해가 발생합니까?

의도적인 사람 (바이러스 제작자) 은 이 허점을 이용하여 다음과 같은 공격을 실시할 것이다.

1.CSRF/XSRF 공격, 간단히 b.com 페이지에서 a.com 의 인터페이스를 요청합니다 (브라우저는 자동으로 a.com 의 쿠키를 가져옴). 따라서 a.com 에서 사용자에 대한 정보를 얻을 수 있습니다.

2.XSS 주입 공격은 SQL 공격과 유사하며 악성 스크립트가 포함된 데이터를 서버에 제출하여 페이지를 파괴하거나 사용자의 쿠키를 얻습니다.

셋째, 우리는 교차 도메인이 무엇인지, 어떻게 해결해야 하는지 알고 있습니다. 이 권위 있는 문장 들을 찾았으니 먼저 보자.

1.모질라 홈페이지 도메인 간 문장 (소스 간), HTTP 액세스 제어 (CORS).

2. 모질라 홈페이지는 브라우저 동원전략 (동원성) 을 간략하게 소개했다. 브라우저의 매핑 정책

넷째, 이 문장 들을 보고 나면 도메인 간 문제를 어떻게 처리할 계획입니까? 먼저 내 자신의 크로스 도메인 솔루션에 대해 이야기하십시오.

1. CORS 프로토콜을 사용하면 Nginx 에서 도메인 간 허용되는 헤더 (백엔드 애플리케이션에서도 설정할 수 있지만 Nginx portal 구성 시 더욱 통일됨) 를 직접 설정하고 위치 구성에 add_header (문서 링크) 명령을 직접 사용할 수 있습니다. 예제 구성은 다음과 같습니다.

2. JSONP 를 사용해도 백엔드 협조가 필요하며' 스크립트 및 리소스 로드 시 브라우저가 동원정책에 구속되지 않음' 의 기능을 활용하지만, 이 방법은 매우 제한적입니다. 예를 들어 GET 요청만 사용할 수 있고 사용자 정의 헤더를 휴대할 수 없습니다.

3. 기타 방법 (예: HTML5 의 window.name, document.domain 및 feature window.postMessage).

동사 (verb 의 약어) 기타 참조 링크

1 ..? JS 도메인 간 문제 정보

2. 도메인 간 자원 * * * CORS 상세 정보 즐기기-응우엔 일봉

자동사 선언

현재 인터넷상의 지식은 매우 복잡하다. 어떤 것은 권위 있는 책에서 나온 것이고, 어떤 것은 저자가 스스로 알고 기록한 것이고, 또 어떤 것은 조작한 것이니, 반드시 상황과 결합하여 감별해야 한다. 권위 있는 문헌이 있는 지식점에 대해서는 먼저 문헌을 참고하는 것이 좋습니다.