摘要:
基本概念 当一个用户已经登录并且在当前域名下存储了相关的 Cookie(如身份验证信息等),如果打开一个伪造的 HTML 页面,并且该页面中的 <form> 元素的 action 属性包含完整的 API 请求全路径指向同一域名,浏览器在发送该表单请求时会自动携带该域名下存储的 Cookie。 同一域 阅读全文
摘要:
基本概念 CORS 指的是 跨源资源共享(Cross-Origin Resource Sharing),默认情况下不允许从一个源(即一个域名、协议、端口号组合)加载页面执行跨源 HTTP 请求。 若服务器未配置 CORS,当浏览器发起跨域请求时,会阻止前端获取服务器的响应。因此,服务器必须正确配置 阅读全文