有一段恶意代码,代码内容是: 往银行后台发送一个转账的请求(携带Cookie),这时，悲剧发生了，这个 url 请求就会得到响应，钱将从小明的账号转移到攻击者的账号，而小明当时毫不知情,等以后小明发现账户钱少了 总的而言有以下三点限制：一是来自一个源的js只能读写自己源的存储不能读写其他源的存储，存储包括Cookie、Session Storage、Local Storage、Cache、Indexed DB等 二是来自一个源的js只能读写自己源的DOM树不能读取其他源的DOM树。即如果开始讨论，iframe内外层不同源就不能相互操作，外层想获取内层的内容只能使用点击劫持配合；实现原理亦如前所述未知。 自己之前也抱怨过，又不是服务器不响应服务器响应了不浏览器不（允许js）解析是不是没什么意义的多此一举；现在看来，通过自己写python等方法也确实能请求其他服务器并解析其结果，浏览器没有Access-Control-Allow-Origin 在浏览器的同源策略下, 其他站点的js是不能读写别的站点的Cookie、Session Storage、Local Storage、Cache、Indexed DB #3 前后端分离项目如何避免CSRF