跨域请求

前言：对跨域请求、CORS和CSRF做名词解释，没有深入展开。想深入了解跨域看下面的两篇文章。

跨域请求

1. 什么是跨域请求？

• 所谓的跨域请求就是指：当前发起请求的域与该请求指向的资源所在的域不一样。（这里的域指的是这样的一个概念：我们认为若协议 + 域名 + 端口号均相同，那么就是同域。）
• 简单点说：服务器A的web应用，向服务器B请求资源，称为跨域。在 HTML 中，<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址。
• 举个例子就是：假如一个域名为aaa.cn的网站，它发起一个资源路径为aaa.cn/books/getBookInfo的 Ajax 请求，那么这个请求是同域的，因为资源路径的协议、域名以及端口号与当前域一致（例子中协议名默认为http，端口号默认为80）。但是，如果发起一个资源路径为bbb.com/pay/purchase的 Ajax 请求，那么这个请求就是跨域请求，因为域不一致，与此同时由于安全问题，这种请求会受到同源策略限制。

2. CORS和CSRF傻傻分不清
   一度以为CORS就是指跨域请求。

   • 跨源资源共享 Cross-Origin Resource Sharing(CORS) 是一个新的 W3C 标准，它新增的一组HTTP首部字段，允许服务端其声明哪些源站有权限访问哪些资源。（也就是说，CORS是用于支持跨域请求的标准）

   • CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding。（攻击者盗用了你的身份，以你的名义发送恶意请求）

3. CORS的请求头

4. CSRF的攻击方式