發(fā)請(qǐng)求自動(dòng)帶上的
mdn cookie
防止XSRF最好的方式是使用CSRF-token�����。
cookie一般用于保存信息,你向同一個(gè)服務(wù)器發(fā)請(qǐng)求時(shí)會(huì)帶上瀏覽器保存的對(duì)于那個(gè)服務(wù)器的cookie��,而不管你從哪個(gè)網(wǎng)站發(fā)請(qǐng)求�。
所以后端需要設(shè)置Access-Control-Allow-Origin,瀏覽器會(huì)看你的訪問(wèn)網(wǎng)站是否是被允許的域,如果允許就發(fā)請(qǐng)求并能獲得數(shù)據(jù)�����,如果不受允許那么能發(fā)請(qǐng)求但是js腳本無(wú)法獲取返回的數(shù)據(jù)(你仍然能在NetWork中看到返回)�����。
可以看下這篇文章
