用户进入银行前端网站,登录成功后,用户在进入黑客网站,其中黑客网站有段代码
$.ajax({
type: "POST",
url: "http://银行后端地址/转账",
data:.......
});
因为用户已经登录了银行前端网站,浏览器有银行网站的cookie,一般人会认为用户会被骗去转账。然而实际上是黑客无法得手,因为浏览器有跨域限制。
但是有人认为nginx能解决跨域,能让黑客得手?于是黑客把他的网站代码改为
$.ajax({
type: "POST",
url: "http://黑客的nginx地址/转账",
.......
});
然后配置nginx转发到银行后端地址,那么这样做,黑客也无法得手。因为即使浏览器没有跨域限制,用户请求黑客的nginx地址又怎么可能会携带银行网站的cookies?