“ 嵌入内容与 HTTP Basic Auth：跨域问题解析与安全实践

3次阅读

本文探讨了在使用 `` 标签通过 url 传递 <a href="https://seo.sqjnqi.com/tag/http/">http</a> b<a >asic</a> authentication 凭据时可能遇到的<a >跨域</a>（cors）问题。尽管直接访问带有凭据的 url 可能成功，但将其嵌入 `<iframe>` 中常因<a >浏览器</a>安全策略而失败。文章将深入分析<a href="https://seo.sqjnqi.com/tag/%e8%b7%a8%e5%9f%9f/">跨域</a>错误的成因，并提供服务器端配置 cors 的具体解决方案，同时强调直接在 url 中暴露凭据的安全隐患，并提出更安全的认证机制建议。

引言：`` 与 HTTP B<a href="https://seo.sqjnqi.com/tag/asic/">asic</a> Authentication

在网页开发中，`` 标签常用于将外部内容嵌入到当前页面中。有时，我们可能需要嵌入需要认证的内容，一种常见的做法是在 URL 中直接包含用户名和密码，利用 HTTP Basic Authentication 机制，例如 `<a href="https://seo.sqjnqi.com/tag/https/">https</a>://username:pass<a >word</a>@example.com/path`。这种方式在直接通过<a href="https://seo.sqjnqi.com/tag/%e6%b5%8f%e8%a7%88%e5%99%a8/">浏览器</a>访问时通常能够正常工作，因为浏览器会根据 URL 中的凭据自动生成 `Authorization` 请求头进行认证。

然而，当尝试将包含此类凭据的 URL 放入 `` 的 `src` 属性时，开发者经常会遇到内容无法加载的问题，即使目标 URL 在浏览器中单独访问是成功的。例如，以下代码片段展示了这种尝试：

<section class="slice color-three pb-4">    <div class="w-section inverse p-0">      <div class="card col-md-12 pb-4">         <iframe id="sms_service" src="https://username:password@example.com/send_sms?account=123456789" height="450" width="100%"></iframe>      </div>    </div> </section>

尽管直接访问 `https://username:password@example.com/send_sms?account=123456789` 可能成功，但嵌入 `` 后却无法加载内容。这背后的主要原因通常是浏览器的安全策略——跨域资源共享（CORS）。

问题诊断：跨域资源共享（CORS）

当父页面（嵌入 `` 的页面）与 `<iframe>` 内部加载的页面（即 `src` 属性指向的页面）不属于同一源（协议、域名或<a >端口</a>任一不同）时，浏览器会启用同源策略。同源策略限制了不同源之间资源的交互，以防止恶意脚本攻击。在这种情况下，尽管 URL 中包含了认证信息，浏览器在尝试加载跨域资源时，会首先检查目标服务器是否通过 CORS 机制明确允许了来自父页面的请求。

Remover

几秒钟去除图中不需要的元素

304

查看详情

如果目标服务器没有正确配置 CORS 响应头，浏览器就会拒绝加载 `` 的内容，并在开发者<a >工具</a>的控制台中报告跨域相关的错误，例如 “Cross-Origin Read Blocking (CORB)” 或 “<a href="https://seo.sqjnqi.com/tag/access/">access</a> to XMLHttpRequest at ‘…’ from origin ‘…’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested <a href="https://seo.sqjnqi.com/tag/resource/">Resource</a>.”。

因此，即使 `username:password@hostname` 语法本身是有效的 HTTP Basic Authentication 方式，但当它被用于加载跨域的 `` 内容时，CORS 策略会优先于认证过程被执行，从而导致加载失败。

解决方案：配置服务器端 CORS 策略

解决此问题的核心在于配置

发表于：后端开发

近一天内

复制链接

使用Python docx从Word文档中提取表格内的编号列表

解决PHP与MySQL中UTF-8字符编码问题：以阿拉伯字符为例

Golang如何使用备忘录模式保存对象状态_Golang备忘录模式对象状态保存实践详解

Go Struct多标签解析：XML与JSON序列化配置指南

php怎么找最大值和最小数组_php找最大最小值max与min函数法【技巧】

“ 嵌入内容与 HTTP Basic Auth：跨域问题解析与安全实践

引言：`` 与 HTTP B<a href="https://seo.sqjnqi.com/tag/asic/"><b>asic</b></a> Authentication

问题诊断：跨域资源共享（CORS）

解决方案：配置服务器端 CORS 策略

欧易OKX官网网址欧易交易所最新登录入口

JavaScript中什么是IndexedDB_如何使用

Laravel怎么做缓存_Laravel Cache系统提升应用速度的策略与技巧

VSCode中Git历史可视化工具：Git Graph插件

mysql如何进行全量备份_mysql全量备份操作方法

利用VSCode的本地历史记录恢复丢失的代码

SQL分页查询怎么优化_重要技巧总结提升查询效率【教程】

c++中的std::assume_aligned是什么_c++ C++20内存对齐提示【性能】

使用jQuery动态调整iFrame尺寸的实用指南

VSCode源码结构浅析