CORS和JSONP跨域漏洞 去年对同源策略进行过入门，里面介绍了同源策略和几种跨域传输资源的方法。但是都比较浅显，没有深入研究，这里进一步研究。   跨域 SOP，同源策略 (Same Origin Policy)，该策略是浏览器的一个安全基石，如果没有同源策略，那么，你打开了一个合法网站，又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网…

CSRF总结 简介 跨站请求伪造（Cross-Site Request Forgery, CSRF）是一种挟持用户在已经认证过的Web应用程序上执行非本意的操作的一种攻击方式。听起来和XSS（跨站脚本攻击）相似，但是两者实际上原理是不同的，XSS是利用站点内的信任用户，而CSRF是通过伪装来自受信用户的请求来利用受信任的网站；两者一个显著的区别在于…