我看到跨域Ajax調用,
安全風險,但我認爲真正的問題是,該瀏覽器
自動發送到目標跨域的cookie。同源策略的解決方案
那麼爲什麼瀏覽器不能在發送跨域 的請求時不發送cookie而不是完全阻止該請求呢?
我希望我的問題有道理。
編輯:
來自:https://en.wikipedia.org/wiki/Same-origin_policy
雖然這是事實,在JavaScript有向銀行 會話cookie不能直接訪問,但它仍然可以發送和接收請求到 銀行網站與銀行網站的會話cookie基本上 充當銀行網站的普通用戶。關於 新的交易,甚至CSRF保護通過銀行網站沒有 效果的發送,因爲該腳本可以簡單地做一樣的用戶會做
因此,假設我登錄Facebook和同時訪問一個奇怪的網站,使用跨站點請求Facebook來竊取關於我的信息, 我的意思是它可以做到這一點的唯一原因是因爲合法的cookie包含在瀏覽器的請求中,我錯了嗎?
請參閱我的編輯。 – GionJh