关于安全性问题：（XSS,csrf,cors,jsonp,同源策略）

关于安全性问题：（XSS,csrf,cors,jsonp,同源策略）

Ajax 是无需刷新页面就能从服务器获取数据的一种方法。它的核心对象是XHR，同源策略是ajax的一种约束，它为通信设置了相同的协议，相同的域名，相同的端口。为此，会访问不到之外的资源，因此采用几种方法可以解决这一问题，第一：跨源资源共享CORS；第二：JSONP和图像Ping，但是不如CORS稳妥。

对于CORS：整个cors通信过程是由浏览器自动完成的，关键在于服务器，只要服务器提供了cors接口，就可以跨源通信。对于简单请求，浏览器直接发出cors请求，即在头信息之中。增加一个origin字段；

如：GET/corsHTTP/1.1

Origin：http://api.bob.com  本次请求的跨源地址，服务器会根据该地址决定是否同意该请求。服务器会返回Access-Control-Allow-Origin该类型字段；

Host：api.alice.com

Accept-Language：en-US

Connection：keep-alive

User-Agent：Mozilla/5.0

与jsonp比较：jsonp只适用于get请求，但是它可以支持老式浏览器。而cors不支持老式浏览器，但是可以支持所有类型的HTTP请求。

对于JSONP：通过引入script标签，直接使用src属性引入外部的url。并对其设置cb函数。在资源加载进来的时候定义好一个函数并与cb函数一个名，并把返回的数据作为参数传入该函数，函数内进行一定的操作。

 

XSS与CSRF：

Csrf：跨站点请求伪造，未经授权系统有权访问某个资源的情况。为了保证通过XHR访问的URL安全，可以通过验证发送请求者是否有权限访问相应的资源。方法：每一次请求都要附带经过相应算法计算得到的验证码；要求以SSL连接来访问；

Xss：跨站脚本攻击，即恶意攻击者向web页面里插入恶意攻击脚本代码。解决方案：首先：对请求的数据进行转换和过滤，包含在客户端和服务器端的转换和过滤。通过将url，查询的关键字，http报头，post数据等可以设置规定的长度，采用适当的格式，过滤或忽略部分内容等等。其次可以采取同源策略实现安全；