一、src属性的标签允许携带cookie跨域访问资源
测试过程如下:
服务端:
客户端:
使用Burp抓包:
上面是script标签,再看看img标签:
二、ajax跨域访问:
注意:ajax跨域访问需要设置才能跨域访问携带Cookie,下面标注的参数,另外注意的是ajax的请求能够正常发起,只是返回的消息被浏览器拦截了,如下图:
服务器端:
客户端:
执行结果:
再看burp:
说明响应正常返回,仅仅是被浏览器拦截了消息,因为是跨域问题。
下面是的内容比较全。
为什么要限制AJAX:
如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容
如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题
Ajax的跨域访问问题是现有的Ajax开发人员比较常遇到的问题
一般都会用jsoncallback方法来解决
你可以理解为两个域名之间不能跨过域名来发送请求或者请求数据,否则就是不安全的
在举个例子就是,当前页面请求天气的网站来显示数据,这样如果天气的网站没有做任何限制的话就造成了偷取数据了。
