CSRF与XSS

浏览器出于安全性，制定了同源策略，禁止进行跨域请求。那么什么是跨域访问呢，例如我们在一个web页面中，使用ajax去请求一个与当前页面不同域名的网址，则览浏器会阻止访问(这一点还是取决于服务器的设置)，或者在iframe中去访问不同域名的网址，则会引起跨域问题。当然，允不允许跨域，最终还是由服务器决定的

CSRF 跨域请求伪造

CSRF攻击，全称cross-site request forgery，即跨站点请求伪造。下图完美展示了跨站点请求伪造的危险。

1. 用户登录了自己的银行页面 http://mybank.com，http://mybank.com向用户的 cookie 中添加用户标识。
2. 用户浏览了恶意页面http://evil.com，执行了页面中的恶意 AJAX 请求代码。
3. http://evil.com 向http://mybank.com 发起 AJAX HTTP 请求，请求会默认把http://mybank.com对应 cookie 也同时发送过去。
4. 银行页面从发送的 cookie 中提取用户标识，验证用户无误，response 中返回请求数据。此时数据就泄露了。
   而且由于 Ajax 在后台执行，用户无法感知这一过程。

• 跨域资源共享-CORS

CORS（Cross-origin resource sharing，跨域资源共享）是一个 W3C 标准，定义了在必须访问跨域资源时，浏览器与服务器应该如何沟通。CORS 背后的基本思想，就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通，从而决定请求或响应是应该成功，还是应该失败。

CORS 需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE 浏览器不能低于 IE10。

整个 CORS 通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS 通信与同源的 AJAX 通信没有差别，代码完全一样。浏览器一旦发现 AJAX 请求跨域，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

因此，实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口，就可以跨源通信。

XSS

XSS：跨站脚本（Cross-site scripting，通常简称为XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

与CSRF相比，XSS相当于是实现CSRF的一种方式