这是真的吗?
- 现代浏览器将“origin”标头添加到任何跨域请求中。
- 现代浏览器在响应中查找“Access-Control-Allow-Origin”标头,如果没有此标头,则不处理响应正文。
因此,服务器不需要使用CSRF令牌来保护使用现代浏览器的用户。
如果不希望跨域请求,服务器不需要CORS。
换句话说,这些陈述是真的吗?
- 现代浏览器保护用户数据免受XSS攻击,如果不希望跨域请求,则服务器端不需要特殊操作
- 只有在需要允许某些受信任域执行跨域请求时才需要服务器端的CORS
- 仅限旧版浏览器需要CSRF令牌