CORS 是君子协定，只服务理想环境。
真实世界的攻击不受限 CORS ，可能要真正研究的方向是 CSRF 、重放攻击这些

这么多打错。。。

看标题看的我一愣一愣的，愣是没想通跨域能发起啥攻击。
看楼中评论竟然还一本正经的讨论起来了，后来发现 你说的其实是 CSRF
连 CSRF(跨站伪造请求) 和 CORS （跨域） 都分不清，就别发起讨论了。

@fiveStarLaoliang #18 @shadowyue #19 像极了甲方乙方开对接会议😆😇😇😇

朕决定了，荣登大宝之后一定要把该死的首字母缩写都砍了。

其实 HTTP 方法不一定是 GET 、POST 、PUT 、HEAD 、OPTIONS 这些，你完全可以凭喜好自定义一个偏门的单词作为请求方法。🤣

https://imgur.com/66sccjK
https://i.imgur.com/66sccjK.jpeg

post 换成 put 有什么区别？

CSRF 和 put 有啥关系？

避免 CSRF 攻击的方法：
1. 避免在 GET 请求中进行状态改变操作
2. 避免直接根据 URL 参数执行敏感操作
3. 增加 CSRF token 校验，确保请求合法
4. 设置允许访问的来源白名单

单浏览器维度不允许跨域就会有跨站请求