發(fā)請求自動帶上的
mdn cookie
防止XSRF最好的方式是使用CSRF-token。
cookie一般用于保存信息����,你向同一個服務(wù)器發(fā)請求時會帶上瀏覽器保存的對于那個服務(wù)器的cookie,而不管你從哪個網(wǎng)站發(fā)請求����。
所以后端需要設(shè)置Access-Control-Allow-Origin,瀏覽器會看你的訪問網(wǎng)站是否是被允許的域,如果允許就發(fā)請求并能獲得數(shù)據(jù)���,如果不受允許那么能發(fā)請求但是js腳本無法獲取返回的數(shù)據(jù)(你仍然能在NetWork中看到返回)�。
可以看下這篇文章
