发请求自动带上的mdn cookie 防止XSRF最好的方式是使用CSRF-token。 cookie一般用于保存信息,你向同一个服务器发请求时会带上浏览器保存的对于那个服务器的cookie,而不管你从哪个网站发请求。所以后端需要设置Access-Control-Allow-Origin,浏览器会看你的访问网站是否是被允许的域,如果允许就发请求并能获得数据,如果不受允许那么能发请求但是js脚本无法获取返回的数据(你仍然能在NetWork中看到返回)。 可以看下这篇文章
发请求自动带上的
mdn cookie
防止XSRF最好的方式是使用CSRF-token。
cookie一般用于保存信息,你向同一个服务器发请求时会带上浏览器保存的对于那个服务器的cookie,而不管你从哪个网站发请求。
所以后端需要设置
Access-Control-Allow-Origin,浏览器会看你的访问网站是否是被允许的域,如果允许就发请求并能获得数据,如果不受允许那么能发请求但是js脚本无法获取返回的数据(你仍然能在NetWork中看到返回)。可以看下这篇文章