Menu

  • Home
  • Work
    • Cloud
      • Virtualization
      • IaaS
      • PaaS
    • Java
    • Go
    • C
    • C++
    • JavaScript
    • PHP
    • Python
    • Architecture
    • Others
      • Assembly
      • Ruby
      • Perl
      • Lua
      • Rust
      • XML
      • Network
      • IoT
      • GIS
      • Algorithm
      • AI
      • Math
      • RE
      • Graphic
    • OS
      • Linux
      • Windows
      • Mac OS X
    • BigData
    • Database
      • MySQL
      • Oracle
    • Mobile
      • Android
      • IOS
    • Web
      • HTML
      • CSS
  • Life
    • Cooking
    • Travel
    • Gardening
  • Gallery
  • Video
  • Music
  • Essay
  • Home
  • Work
    • Cloud
      • Virtualization
      • IaaS
      • PaaS
    • Java
    • Go
    • C
    • C++
    • JavaScript
    • PHP
    • Python
    • Architecture
    • Others
      • Assembly
      • Ruby
      • Perl
      • Lua
      • Rust
      • XML
      • Network
      • IoT
      • GIS
      • Algorithm
      • AI
      • Math
      • RE
      • Graphic
    • OS
      • Linux
      • Windows
      • Mac OS X
    • BigData
    • Database
      • MySQL
      • Oracle
    • Mobile
      • Android
      • IOS
    • Web
      • HTML
      • CSS
  • Life
    • Cooking
    • Travel
    • Gardening
  • Gallery
  • Video
  • Music
  • Essay

HTTP知识集锦

27
May
2013

HTTP知识集锦

By Alex
/ in HTML,JavaScript,Network
/ tags CORS, HTTP, JsonP
0 Comments
Cookies相关知识

Cookies是一种最常使用的客户端存储机制,Cookies由Netscape在1994年提出,用来为HTTP协议引入状态机制。

为了使基于Cookies的状态机制能够工作,Web服务器会在HTTP响应的Set-Cookie头中设置Cookie,保存用户身份、状态信息,而浏览器在下一次发送HTTP请求的时候,会把先前Web服务器设置的Cookie绑定在HTTP请求头中,发送回去。

由于每次HTTP请求都会重复的发送Cookies,所有Cookies不适合存放过大的数据,事实上,大部分浏览器对每个域名可设置Cookies的大小、都有严格限制,通常在数十个、几KB以内。

使用Cookies的注意点
  1. Cookies的Domain可以设置为IP地址,但是不能使用通配符,例如.0.1这样的Domain是非法的
  2. Domain:域名至少包含两个点号。域设置为.gmem.cc的Cookie可以让gmem.cc域名下所有网站使用,例如blog.gmem.cc
  3. Path:限制使用Cookie的网页目录,路径设置为/wp-admin/的Cookie可以让gmem.cc/wp-admin/下所有子URL对应的网页访问
  4. Secure:可以限制Cookie只能通过加密连接(SSL)发送
  5. Expires:可以限制Cookie的生存期,如果不设置,那么浏览器关闭后Cookie即消失
同源策略

所谓源,是指由三元组:协议 + 域名 + 端口确定的唯一网络实体。

修改源

通过JavaScript可以修改当前页面的源,但是只能域名为当前域名的超级域名:

http://blog.gmem.cc/index.html
JavaScript
1
document.domain = "gmem.cc";

修改后,同源策略检查结果将受到影响。使用这种技术,可以让位于子域名中的多个网站方便的交互。

跨源资源访问

原则:

  1. 通常允许跨域执行写操作:例如链接、重定向、表单提交
  2. 通常允许跨域资源嵌入
  3. 通常不允许跨域读操作:例如Ajax请求

其中第一条,为CSRF(跨站请求伪造,Cross-site request forgery)埋下隐患。攻击者可能引导用户访问一个恶意站点,而此恶意站点包含了修改敏感信息的表单,此表单自动跨源发送,伪造用户身份篡改信息。可以使用不可测的CSRF标记来防止跨域写。

第二条,可以嵌入的资源包括:

  1. script标签
  2. link标签,嵌入css。CSS的跨域需要一个设置正确的Content-Type消息头
  3. img标签
  4. video、audio标签
  5. object、embed、applet插件
  6. @font-face引入的字体。某些浏览器要求同源字体
  7. frame、iframe。站点可以使用 X-Frame-Options 头禁止这类资源嵌入

你可以使用CORS、JsonP等技术允许来进行跨源的资源共享。

JsonP相关知识

JsonP即JSON with Padding,其实与JSON没有直接关系,是一种跨站资源共享的方式。

由于浏览器的同源策略,blog.gmem.cc一般是无法与诸如soulspark.im之类的其它网站进行通信的,但是HTTP的 <script> 脚本是一个例外,例如此脚本,可以动态的从其它网站上获取信息。

假设blog.gmem.cc/postinfo/{postid}提供一个获取文章信息的RESTful服务,其返回值是text/json格式,示例如下:

JavaScript
1
2
3
4
{
    "post_author" : "alex",
    "post_title"  : "HTTP协议知识集锦"
}

 那么soulspark.im的某个页面如何才能访问并获取某篇文章的信息呢?

如果直接使用Ajax请求访问,同源策略可能导致访问被禁止,那么如果使用 <script> 脚本,上述返回值并不能被soulspark.im的脚本提取并使用。

要支持JsonP,blog.gmem.cc必须改造postinfo服务,允许其传入一个“Padding”参数,该参数由调用者soulspark.im指定,通常是一个JavaScript函数的名称,改造后的postinfo服务的URL示例为: blog.gmem.cc/postinfo/{postid}?jsonp=decodePost ,而返回值则是如下形式的脚本:

JavaScript
1
2
3
4
5
6
7
//decodePost即所谓Padding,由客户端提供的简短字符串,通常就是所谓“回调函数”
decodePost(
    {
        "post_author" : "alex",
        "post_title"  : "HTTP协议知识集锦"
    }
);

这样,soulspark.im就可以调用decodePost(),从而获取文章的信息了。

需要注意的时, <script> 脚本不一定非要硬编码在HTML文档中,在页面运行过程中,可以随时动态创建该元素以使用JsonP。

JsonP的安全风险

JsonP允许远端Web服务注入任意JavaScript代码,因此具有很大的安全性风险,如果远端服务器具有安全缺陷,或者响应内容在网络上被篡改,将导致本地Web页面受到威胁。

CORS相关知识

CORS,即Cross-origin resource sharing(跨来源资源共享)是一份浏览器技术规范。相比起JsonP,它有如下优势:

  1. 支持除了GET以外的其它HTTP请求方法
  2. 支持使用一般的Ajax(XMLHttpRequest、Fetch)直接获取资源
  3. 支持跨源使用Webfont、WebGL贴图、样式表、脚本

所谓跨源,指发起请求的那个网页所在的源(协议 + 域名 + 端口),与请求的目标网页的源不一致。

大部分现代浏览器,包括IE 8+,均支持CORS。

服务器

要支持CORS,服务器端必须设置 Access-Control-Allow-Origin 响应头,下面是某个Python Web服务的代码片段:

Python
1
2
3
4
5
headers.setdefault('Access-Control-Allow-Origin', '*')
"""
上述配置允许任何其它的Domain向服务器发起请求。
把*换成http://soulspark.im,则仅仅允许soulspark.im发起请求
"""

如果服务器不进行设置,客户端在尝试CORS访问时将会报错。 

与CORS有关的响应头包括:

Access-Control-Allow-Origin 必须字段。允许哪些源发起请求,源由客户端在请求头 Origin 中设置
Access-Control-Allow-Credentials 布尔值,可选字段。是否允许跨域的发送Cookie,默认情况下Cookie不包含在CORS请求中
Access-Control-Expose-Headers 默认的,CORS方式发送Ajax时,只能拿到Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma这几个响应头。如果允许获得其它响应头,需要在这里指定
客户端

在浏览器中,Origin头会在需要时,自动的被浏览器设置,JavaScript代码无法干预。因此CORS依赖浏览器的正确行为来工作。

发送CORS的Ajax请求时要想带着Cookie,不但需要服务器同意,客户端也要显式的指定:

JavaScript
1
2
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;  // 附带Cookie

启用上述设置时,Access-Control-Allow-Origin不允许指定为*,同时Cookie仍然受到同源策略的限制。

由于CORS依赖于浏览器的行为,因此服务器不能对客户端做假设。

 

← 2013年北京动植物园
2013年6月蓟县盘山 →

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Related Posts

  • AsyncHttpClient知识集锦
  • HTTP协议学习笔记
  • 基于Broadway的HTML5视频监控
  • HTML5视频监控技术预研
  • SockJS知识集锦

Recent Posts

  • Investigating and Solving the Issue of Failed Certificate Request with ZeroSSL and Cert-Manager
  • A Comprehensive Study of Kotlin for Java Developers
  • 背诵营笔记
  • 利用LangChain和语言模型交互
  • 享学营笔记
ABOUT ME

汪震 | Alex Wong

江苏淮安人,现居北京。目前供职于腾讯云,专注容器方向。

GitHub:gmemcc

Git:git.gmem.cc

Email:gmemjunk@gmem.cc@me.com

ABOUT GMEM

绿色记忆是我的个人网站,域名gmem.cc中G是Green的简写,MEM是Memory的简写,CC则是我的小天使彩彩名字的简写。

我在这里记录自己的工作与生活,同时和大家分享一些编程方面的知识。

GMEM HISTORY
v2.00:微风
v1.03:单车旅行
v1.02:夏日版
v1.01:未完成
v0.10:彩虹天堂
v0.01:阳光海岸
MIRROR INFO
Meta
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org
Recent Posts
  • Investigating and Solving the Issue of Failed Certificate Request with ZeroSSL and Cert-Manager
    In this blog post, I will walk ...
  • A Comprehensive Study of Kotlin for Java Developers
    Introduction Purpose of the Study Understanding the Mo ...
  • 背诵营笔记
    Day 1 Find Your Greatness 原文 Greatness. It’s just ...
  • 利用LangChain和语言模型交互
    LangChain是什么 从名字上可以看出来,LangChain可以用来构建自然语言处理能力的链条。它是一个库 ...
  • 享学营笔记
    Unit 1 At home Lesson 1 In the ...
  • K8S集群跨云迁移
    要将K8S集群从一个云服务商迁移到另外一个,需要解决以下问题: 各种K8S资源的迁移 工作负载所挂载的数 ...
  • Terraform快速参考
    简介 Terraform用于实现基础设施即代码(infrastructure as code)—— 通过代码( ...
  • 草缸2021
    经过四个多月的努力,我的小小荷兰景到达极致了状态。

  • 编写Kubernetes风格的APIServer
    背景 前段时间接到一个需求做一个工具,工具将在K8S中运行。需求很适合用控制器模式实现,很自然的就基于kube ...
  • 记录一次KeyDB缓慢的定位过程
    环境说明 运行环境 这个问题出现在一套搭建在虚拟机上的Kubernetes 1.18集群上。集群有三个节点: ...
  • eBPF学习笔记
    简介 BPF,即Berkeley Packet Filter,是一个古老的网络封包过滤机制。它允许从用户空间注 ...
  • IPVS模式下ClusterIP泄露宿主机端口的问题
    问题 在一个启用了IPVS模式kube-proxy的K8S集群中,运行着一个Docker Registry服务 ...
  • 念爷爷
      今天是爷爷的头七,十二月七日、阴历十月廿三中午,老人家与世长辞。   九月初,回家看望刚动完手术的爸爸,发

  • 6 杨梅坑

  • liuhuashan
    深圳人才公园的网红景点 —— 流花山

  • 1 2020年10月拈花湾

  • 内核缺陷触发的NodePort服务63秒延迟问题
    现象 我们有一个新创建的TKE 1.3.0集群,使用基于Galaxy + Flannel(VXLAN模式)的容 ...
  • Galaxy学习笔记
    简介 Galaxy是TKEStack的一个网络组件,支持为TKE集群提供Overlay/Underlay容器网 ...
TOPLINKS
  • Zitahli's blue 91 people like this
  • 梦中的婚礼 64 people like this
  • 汪静好 61 people like this
  • 那年我一岁 36 people like this
  • 为了爱 28 people like this
  • 小绿彩 26 people like this
  • 彩虹姐姐的笑脸 24 people like this
  • 杨梅坑 6 people like this
  • 亚龙湾之旅 1 people like this
  • 汪昌博 people like this
  • 2013年11月香山 10 people like this
  • 2013年7月秦皇岛 6 people like this
  • 2013年6月蓟县盘山 5 people like this
  • 2013年2月梅花山 2 people like this
  • 2013年淮阴自贡迎春灯会 3 people like this
  • 2012年镇江金山游 1 people like this
  • 2012年徽杭古道 9 people like this
  • 2011年清明节后扬州行 1 people like this
  • 2008年十一云龙公园 5 people like this
  • 2008年之秋忆 7 people like this
  • 老照片 13 people like this
  • 火一样的六月 16 people like this
  • 发黄的相片 3 people like this
  • Cesium学习笔记 90 people like this
  • IntelliJ IDEA知识集锦 59 people like this
  • 基于Kurento搭建WebRTC服务器 38 people like this
  • Bazel学习笔记 37 people like this
  • PhoneGap学习笔记 32 people like this
  • NaCl学习笔记 32 people like this
  • 使用Oracle Java Mission Control监控JVM运行状态 29 people like this
  • Ceph学习笔记 27 people like this
  • 基于Calico的CNI 27 people like this
Tag Cloud
ActiveMQ AspectJ CDT Ceph Chrome CNI Command Cordova Coroutine CXF Cygwin DNS Docker eBPF Eclipse ExtJS F7 FAQ Groovy Hibernate HTTP IntelliJ IO编程 IPVS JacksonJSON JMS JSON JVM K8S kernel LB libvirt Linux知识 Linux编程 LOG Maven MinGW Mock Monitoring Multimedia MVC MySQL netfs Netty Nginx NIO Node.js NoSQL Oracle PDT PHP Redis RPC Scheduler ServiceMesh SNMP Spring SSL svn Tomcat TSDB Ubuntu WebGL WebRTC WebService WebSocket wxWidgets XDebug XML XPath XRM ZooKeeper 亚龙湾 单元测试 学习笔记 实时处理 并发编程 彩姐 性能剖析 性能调优 文本处理 新特性 架构模式 系统编程 网络编程 视频监控 设计模式 远程调试 配置文件 齐塔莉
Recent Comments
  • qg on Istio中的透明代理问题
  • heao on 基于本地gRPC的Go插件系统
  • 黄豆豆 on Ginkgo学习笔记
  • cloud on OpenStack学习笔记
  • 5dragoncon on Cilium学习笔记
  • Archeb on 重温iptables
  • C/C++编程:WebSocketpp(Linux + Clion + boostAsio) – 源码巴士 on 基于C/C++的WebSocket库
  • jerbin on eBPF学习笔记
  • point on Istio中的透明代理问题
  • G on Istio中的透明代理问题
  • 绿色记忆:Go语言单元测试和仿冒 on Ginkgo学习笔记
  • point on Istio中的透明代理问题
  • 【Maven】maven插件开发实战 – IT汇 on Maven插件开发
  • chenlx on eBPF学习笔记
  • Alex on eBPF学习笔记
  • CFC4N on eBPF学习笔记
  • 李运田 on 念爷爷
  • yongman on 记录一次KeyDB缓慢的定位过程
  • Alex on Istio中的透明代理问题
  • will on Istio中的透明代理问题
  • will on Istio中的透明代理问题
  • haolipeng on 基于本地gRPC的Go插件系统
  • 吴杰 on 基于C/C++的WebSocket库
©2005-2025 Gmem.cc | Powered by WordPress | 京ICP备18007345号-2