同源策略是一种约定，它是浏览器最核心也是最基础的安全功能。 XmlHttpRequest同源策略：禁止使用XHR对象向不同源的服务器地址发起HTTP请求。 postMessage。 现代浏览器采用多进程架构。 如Chrome的主要进程分为：浏览器进程、渲染进程、插件进程、扩展进…

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 1.登录受信任网站A，并在本地生成Cookie。 2.在不登出A的情况下，访问危险网…