为什么需要同源策略?CSRF 跨站伪造攻击CORS: Cross-Origin Resource Sharing简单请求的跨域访问复杂请求的跨域访问浏览器的同源策略:协议、主机、端口必须完全相同。 为什么需要同源策略?浏览器范围网页是可以携带第三方token的,容易引起安全性问题。 同源策略其实是用来阻止跨域访问的。 CSRF 跨站伪造攻击通过伪造其他网站,用户输入后,伪造请求给真服务器。 解决方法:使用一个隐藏的且具有时效性的token. CORS: Cross-Origin Resource Sharing 简单请求的跨域访问 复杂请求的跨域访问