诗人不写诗

HTTP协议定义了很多头部参数，这些参数由请求的发起方和响应方设置，所以头部参数可以分为请求头和响应头，通信双方（浏览器和服务器）会去读取这些头部参数并做出对应的的动作。如果有人不按协议设置这些参数，就可以达到一些非法的目的。X-Forwarded-For起源xxf这个请求头，很多应用层在使用，所以这里必须要了解他的意义。X代表这是一个扩展的头参数。事实也正是如此，最开始xxf是Squid cache这个缓存代理服务软件自定义的一个头部参数，用来标识请求的源IP。后来，xxf的使用范围越来越广泛，被

同源策略和跨域访问说的是一个事情。同源策略是客户端浏览器规则，同源是指协议、域名、端口三者一致，不同源的资源之间不能互相访问，这样大大的限制了恶意攻击的发生。如一个恶意网站通过iframe嵌入支付宝页面，通过js获取登录信息，这在没有同源策略的限制下是很容易实现的。同源策略多是限制js读取非同源的dom数据，如果是直接引用非同源的静态资源是可以的。因为这些是公开的，但是你不能修改别人的运行规则。跨域访问是客户端发起，由服务端决定是否返回资源或数据（其实服务器是返回了数据的），如果服务端禁止跨域访问，