同源策略与跨域访问与跨域攻击CSRF

参考文章：https://blog.youkuaiyun.com/qq_38128179/article/details/84956552

同源策略

浏览器的同源策略限制，是浏览器最核心也最基本的安全功能。web基于同源策略构建，浏览器是针对同源策略的实现。同源策略会阻止一个域的js脚本和另外一个域的内容进行交互。

同源指协议+域名+端口三者相同

可以在一定程度上防止跨域攻击CSRF。

跨域访问

访问不同源，即跨域。

协议不同、域名不同（主域名、子域名）、端口不同

比如https://www.baidu.com:8080 协议：https，子域名：www，主域名：baidu，端口：8080

跨域访问限制

• 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB
• 无法接触非同源网页的 DOM
• 无法向非同源地址发送 AJAX 请求

跨域访问实现

在同源策略限制下，请求接口可以借助标签实现，比如：img、script等获取资源的标签

• 设置document.domain解决无法读取非同源网页的Cookie问题–此方案仅限主域相同，子域不同的跨域应用场景

  因为浏览器是通过document.domain属性来检查两个页面是否同源，因此只要通过设置相同的document.domain，两个页面就可以共享Cooki