这几天好好总结了下 CSRF 的原理和产生的原因。 为啥要总结，因为之前老是忘记。。。之前看的时候只是云里雾里，这次写在纸面上算是加深了理解和印象。 通过用户的登录凭证（之前已经登录过网站）在第三方网站发起请求，伪造成是用户自身发起的请求，从而达到目的。 之前在看这块内容的时候…

写在前面的话 阅读任何一篇文章，初衷都是希望对自己有收获、有所成长，但目前有些的文章干货过于少，读完感觉没任何收获，还白白浪费了时间。在阅读本文前，为了打消这种想法，提前将本文所有涉及到的干货列出。实

在说跨域之前，首先需要了解的一个概念就是”同源策略“。 源=协议+域名+端口号。 如果两个url的协议、域名、端口号完全一致，那么这两个url就是同源的。 我们可以通过window.origin或location.origin得到当前源。 同源策略即：不同源之间的页面，不准互相…

我们都知道由于同源策略的存在,导致我们在跨域请求数据的时候非常的麻烦。首先阻挡我们的所谓同源到底是什么呢?

B/S架构的项目中前端经常会遇到跨域问题，什么是跨域问题，常用的解决方法又有哪些呢？可能大多数人对跨域问题都只是一知半解吧。 先来说说那么到底什么是跨域？跨域是指一个域下的文档或脚本去请求另一个域下的资源。跨域问题则是指浏览器出于安全考虑而需要遵循同源策略，限制不同源的网站的文…

让我们先简单回顾一下之前谈到的内容，AJAX是一种无页面刷新的获取服务器资源的混合技术。而基于浏览器的“同源策略”，不同“域”之间不可以发送AJAX请求。但是在某些情境下，我们需要“跨域获取资源”，为了满足这一需求，我们可以使用“JSONP”与“CORS”两种技术。 现在，我们…

1. ✕ 动态请求就会有跨域的问题 2. ✕ 跨域就是请求发不出去了 之所以会跨域，是因为受到了同源策略的限制，同源策略要求源相同才能正常进行通信，即协议、域名、端口号都完全一致。 这三个源分别由于域名、协议和端口号不一致，导致会受到同源策略的限制。 1. 不能向工作在不同源的…