Ada*_*ner 4 security ajax curl http same-origin-policy
我想我明白什么是同源策略了。它表示脚本和 AJAX 请求必须来自同一来源,这意味着它们必须具有相同的协议、主机、域和端口。
我不明白的是它实际上能防止什么。例如,假设我们有两个网站:attacker.com 和bank.com。我了解到attacker.com 无法通过脚本或AJAX 请求访问bank.com。但...
您可以使用 cURL 向bank.com 发出任何您想要的请求。
您可以使用浏览器向bank.com 发出任何类型的 GET 请求
考虑到这些因素,同源策略真正能防止什么?
当您使用 cURL 或浏览器向bank.com 提出自己的请求时,不存在安全问题。在这些场景中没有攻击者,只有您和银行。
当您访问attacker.com时,该问题就会出现,并且它在您不知情的情况下使用您的浏览器向bank.com发出请求,而您的浏览器可能已登录bank.com。
同源策略可防止attacker.com 的所有者使用您的浏览器向bank.com 发出请求。