Learn-anything.cn

一、CORS 是什么？出于安全原因，浏览器会限制脚本发起的跨域 HTTP 请求，除非服务器同意访问。譬如服务器对预检请求的响应 Header 中有 Access-Control-Allow-Origin: *，那么跨域请求即可正确访问。二、危害举例如果恶意网页中含有这样的脚本代码 fetch("example.com")，而你已经登录了 example.com 网站还没有退出，如果此时没有 CORS 限制，那么恶意网页中的脚本代码就会顺利通过服务器执行，您的大量个人信息会被泄露。三、预检请求

一、CSRF 是什么？跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。二、实际攻击场景下面用一个银行网站的转账功能，说明攻击原理。备注：涉及到 URL 等信息都是虚构。1、登录账号正常登录了一家银行网站，查看其后台信息后，没有退出登录；假设这家银行操作转账的 URL

一、XSS 是什么？跨站脚本攻击（Cross-site scripting，XSS）是攻击者向网站注入恶意脚本，等待用户访问网站并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的：盗用cookie，获取敏感信息。利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。