一、跨域问题
1. 概念
在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link>
等标签以及 Ajax 都可以指向一个资源地址
当前发起请求的域和该请求指向资源所在的域不同源(协议+域名+端口号均相同,才算同域)
2. 跨域的安全问题:CSRF攻击
2.1 概念
跨站请求伪造(Cross-site request forgery,CSRF),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。
XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户浏览器的信任。
2.2 攻击原理
例如银行转账采用如下URL:
http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName。
一个恶意攻击者可以在另一个网站上放置如下代码
<img src="http://www.examplebank.com/withdraw?accoun