CORS 介绍
跨域资源共享 Cross-Origin Resource Sharing,CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。CORS 是对同源策略的破坏。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
CORS 分类
请求分成两类:简单请求(simplerequest)和非简单请求(not-so-simplerequest)。
XSS 介绍
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表(CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS,恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页面时,嵌入 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。XSS 攻击针对的是用户层面的攻击!