CORS 介紹
跨域資源共享 Cross-Origin Resource Sharing,CORS 需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,整個 CORS 通信過程,都是瀏覽器自動完成,不需要用戶參與。對於開發者來說,CORS 通信與同源的 AJAX 通信沒有差別,代碼完全一樣。瀏覽器一旦發現 AJAX 請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感覺。CORS 是對同源策略的破壞。
因此,實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口,就可以跨源通信。
CORS 分類
請求分成兩類:簡單請求(simplerequest)和非簡單請求(not-so-simplerequest)。
XSS 介紹
XSS(Cross Site Scripting)攻擊全稱跨站腳本攻擊,是爲不和層疊樣式表(CSS)的縮寫混淆,故將跨站腳本攻擊縮寫爲 XSS,惡意攻擊者往 Web 頁面裏插入惡意 Script 代碼,當用戶瀏覽該頁面時,嵌入 Web 裏面的 Script 代碼會被執行,從而達到惡意攻擊用戶的目的。XSS 攻擊針對的是用戶層面的攻擊!