同源策略:限制不同源之间资源(文档,Cookie)的操作

    同源限制在安全性可用性之间需要一个平衡点:

    1. 可用性:
      1. script``img``iframe``link``video``audio带有src属性可跨域访问
      2. 允许跨域写操作:表单提交 | 重定向请求
        1. CSRF安全性问题
    2. 安全性:
      1. Cookie``LocalStorage``IndexDB无法读取
      2. DOM无法获得。防止跨站脚本篡改DOM结构
      3. AJAX请求不能发送

    CSRF攻击:之前访问过官方网站存有Cookie信息,钓鱼网站中使用Form提交到官方网站复用Cookie
    防止CSRF的两种手段:

    1. referer验证请求来源,但是referer可能伪造,也有低版本浏览器不传referer
    2. 在表单中放入隐藏token字段,<input type='hideen' name='token' value='xxxxx'/>