问个问题，浏览器既然没有解决 CSRF 的问题，那为什么要有跨域限制？

从另一个域发起 post，比如 form 的 submit

@weyou 那这样不是被跨域限制给挡住了吗

跨域不是说不能发起请求 而是浏览器根据服务器的响应阻断了数据返回
实际上那个请求对方已经收到了

post 和 csrf 无关 建议在看看书

@xilixjd form 提交没有跨域限制

CSRF 防范的并不是别人把你的数据发到他自己的服务器，而是防止别人调用你的接口

看这篇： http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

@jugelizi OK 明白了，但是跨域究竟有什么用还是不知道

@TakWolf 好的

@xilixjd。。。比如你是管理员 登录某系统 可以点击删除按钮把一篇文章删除，那么我可以写个 js 或者其他方式实现请求该地址 你访问他的页面时浏览器就会执行这个请求 就相对于伪造了你的操作去删除

@jugelizi CSRF 不就是干这个事的吗，现在有了跨域限制，但是还是防范不了？

没 CORS 跨域取数据几乎只能用 GET 方法 JSONP 不能自定义 header 头

有了 CORS 任何方法 自定义 header 头 都能用

同源策略是为了防止一个源上的脚本使用其他源上的资源，比如读取其他源上的页面内容。

CSRF 攻击只是让浏览器发出请求，并没有使用其它源上的资源，所以也并不受同源策略的影响。

CSRF 和 CORS 这两个并不是同一回事请不要弄混了

网站的 CSRF 保护是网站的事情，浏览器并不能帮你解决欺骗点击这类 CSRF 攻击，必须网站自己去解决

而 CORS 是浏览器的 XHR 规范之一，实际需要保护的，是第三方网站的 Cookie ；
欺骗点击无法防止，但至少你不能获取到点击后的页面返回的内容
而 XHR 规范和嵌入式图片以及脚本是不一样的
嵌入图片或 js / css 这类资源在规范上是允许的，并且返回内容也是可读取的
这是 JSONP 能实现的重要依据
但有一个重要的前提，Cookie 是不会发送的，因而请求可以认为是「无害」的

要知道如果允许带 Cookie 请求非同源网站并且还能得到请求内容的危害性是非常大的，简直就相当于裸奔了

在制订 XHR 规范的时候，对跨域的限制更加严格，虽然理论上不发送 Cookie 的话请求可以认为「无害」，但规范制定是默认禁止所有的跨域请求，更不会发送 Cookie，所有的决定权都留给第三方网站来决定，非同源的 XHR 请求会先发送一个不带 Cookie 的 HEAD 请求，服务端通过返回 HEAD 告诉浏览器接下来应该怎么做（是否允许请求，以及允许交换什么样的 HEADER ）