以前从后端拿数据的时候,碰到跨域问题都是后端处理,处理起来也简单 直接加上下面的东西在config里面就好。
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Methods" value="OPTIONS,POST,GET"/>
<add name="Access-Control-Allow-Headers" value="x-requested-with,content-type"/>
<add name="Access-Control-Allow-Origin" value="*" />
</customHeaders>
</httpProtocol>
今天看到一个浏览器同源策略,以前都是一知半解,只是知其然,不知其所以然。 那么就花点功夫了解一下。
所谓浏览器同源,就是每个网页只能加载自己这个网页域名里的东东,但是拿别人的就不行,当然,别人也拿不走你的
为什么这么做呢?我们知道,网页里有个叫cookie的东西,每次请求头里都会带上这个东西去请求,用来记住用户是否登录啥的。
假如没有这个同源策略,你在浏览一个网站www.yinhang.com时,好基友给你发来一个www.nidongde.com,你毫不犹豫点进去,这个网站暗地里向你的网站www.yinhang.com发起了请求,然后这个不法网站就登录了你的银行账号,那么,结果自然你懂得。
这个就是那啥csrf攻击。