同源
如果两个页面的协议、端口和域名是相同的,那么两个页面具有相同的源。
源的更改
脚本可以把 document.domain 设置为当前域或当前域的超级域。如果把超级域设置为当前域,那么较短的域将用于后续源检查。
允许跨源访问
使用 CORS 允许跨源访问。
阻止跨源访问
- 在请求中添加一个不可测标记(CSRF token);
- 阻止资源嵌套;
如果两个页面的协议、端口和域名是相同的,那么两个页面具有相同的源。
脚本可以把 document.domain 设置为当前域或当前域的超级域。如果把超级域设置为当前域,那么较短的域将用于后续源检查。
使用 CORS 允许跨源访问。