某些浏览器(如Chrome和Safari)不允许跨源请求,因为用户必须遵守相同的原始安全策略。但是哪个是允许这个的真正风险?我的意思是,如果没有同源安全策略,黑客能够做什么样的攻击呢?
答案 0 :(得分:0)
实际上,所有浏览器都遵循同源策略。原因是,如果政策不适用,访问邪恶的网站,该网站将基本上控制您的浏览器,可以使用任何活动的会话和cookie等。您将能够向任何网站发出ajax请求person使用他的会话登录并执行您想要的几乎任何任务。您也可以向不同的端口发出请求,这些端口可能会被滥用,用于制作僵尸,以及其他数百种更有创意的人会想到的东西......
基本上,访问任何网站时,所有会话的完整性都将消失。
我建议您阅读this以获取有关该问题的详细说明。