有人可以向我解释一下“同源策略”功能如何保护我们免受网络攻击(XSS、CSRF 等)吗?
答案1
这取决于具体情况。
如果您在网站内执行脚本时采用“同源”策略,则只有来自与网站本身相同域名(网站)的脚本才能运行。这可以阻止黑客通过诸如可疑广告之类的方式将脚本注入网站。
如果您对 AJAX 调用等内容使用“同源”,则服务器将仅接受来自与 AJAX 服务器关联的网站域的 AJAX 调用请求。这可防止其他网站错误地调用您的 AJAX 例程。
因此,基本上是为了尝试确保请求和脚本来自正确的位置,并且不会被黑客替换或引入。