由于同源策略的限制,其他源无法访问发布源的cookie只有发布源在站点才能访问cookie只有发布源的请求中才会提交发布源的cookie只有利用发布源的js才能获取发布源的请求,才能访问发布源的cookie利用xss漏洞让js获取发布源cookie后发送给攻击者或提交伪造请求这才是xss和xsrf的原理
