一、src属性的标签允许携带cookie跨域访问资源
测试过程如下:
服务端:
![](https://i-blog.csdnimg.cn/blog_migrate/6edc53095395832f1963e2b5e871e5c1.png)
客户端:
![](https://i-blog.csdnimg.cn/blog_migrate/c7f6c3e1502517469758ce034fd75b6f.png)
使用Burp抓包:
![](https://i-blog.csdnimg.cn/blog_migrate/93c4337c72da475b287e68f89fe21ac1.png)
上面是script标签,再看看img标签:
![](https://i-blog.csdnimg.cn/blog_migrate/07ef85e761d56be5509a8cfb54c3e5b7.png)
二、ajax跨域访问:
注意:ajax跨域访问需要设置才能跨域访问携带Cookie,下面标注的参数,另外注意的是ajax的请求能够正常发起,只是返回的消息被浏览器拦截了,如下图:
服务器端:
客户端:
![](https://i-blog.csdnimg.cn/blog_migrate/d97d62b523ed2f4acead56053ff82fe1.png)
执行结果:
再看burp:
![](https://i-blog.csdnimg.cn/blog_migrate/ecc386607c8780f4efc625aa13668328.png)
说明响应正常返回,仅仅是被浏览器拦截了消息,因为是跨域问题。
下面是的内容比较全。
为什么要限制AJAX:
如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容
如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题
Ajax的跨域访问问题是现有的Ajax开发人员比较常遇到的问题
一般都会用jsoncallback方法来解决
你可以理解为两个域名之间不能跨过域名来发送请求或者请求数据,否则就是不安全的
在举个例子就是,当前页面请求天气的网站来显示数据,这样如果天气的网站没有做任何限制的话就造成了偷取数据了。