跨域是后端问题，后端问题 禁止是浏览器出于安全，浏览器方面自作主张禁止的，默认假设你的 URL 是对的，如果 URL 不带跨域头那就不让页面收到信息

例如，假如没有跨域限制，那我是不是可以做个跟支 F 宝完全一样的页面，只加一行代码把用户名密码发来 那用户一看页面长的一样，页面行为也一样，不知不觉中就被盗了

1. 是对的吗? 我理解的是浏览器做出的跨域限制. 因为同样的跨域请求, 浏览器提示 cors, api 工具就会成功 2. 如果携带 cookie, 但设置"Access-Control-Allow-Origin: *", 你的 cookie 会自动被浏览器丢弃. 另外如果你有自定义请求头, 还需要设置响应头为 Access-Control-Allow-Headers: cookie,自定义请求头 1, 头 2... 这个的设置要和你的请求头完全一致 另外前端发请求还需要设置一个 inc 开头的属性. 等我博客启动了发你文章参考下

A 域数据被 B 读，你要保护数据，请问是在 A 上设防火墙还是在 B 上？ B 是发起 CORS 请求的站点，现在你理解了不？ 如果 A 域数据很敏感，你必然要开个白名单只允许特定 B 来读。除了这个白名单外，你可能希望 A 和 B 上都有一些过滤和拦截，那么浏览器就是 B 上的额外防护层。 你从服务端该怎么响应请求的角度出发会容易理解得多，这也是为什么 CORS 明明只是个很简单的机制但为啥这么多前端一直迷迷糊糊的原因。

OWASP 记录了大部分攻击手段和防护措施，可以看下他们的文档

楼主这算是典型初学者的困惑，很多技术在不知道其背景之前总是会产生类似的疑问，其实大多数技术也只是某些场景好用，很多问题是没办法解决的，或者要在可用性、易用性、通用性和绝对安全之间作取舍

V2 不知道为什么这么喜欢讨论跨域请求呢? /t/1056504 /t/1056793