pure_lin7的博客

首先 什么是跨域 因为浏览器出于安全考虑，有同源策略。也就是说，如果协议、域名或者端口有一个不同就是跨域,Ajax请求会失败。 那么是出于什么安全考虑才会引入这种机制呢?其实主要是用来防止CSRF攻击的。简单点说，CSRF 攻击是利用用户的登录态发起恶意请求。 也就是说，没有同源策略的情况下，A网站可以被任意其他来源的Ajax访问到内容。如果你当前A网站还存在登录态，那么对方就可以通过Ajax获得你的任何信息。当然跨域并不能完全阻止 CSRF 。 然后我们来考虑一个问题，请求跨域了，那么请求到底发出去没有?