同源策略
简单说就是,一个网页A设置的cookies不能被网页B用;还有一个网页A的JS也不能发送AJAX请求到另一个网页B.
但是同源策略也带来了很多不方便,所以就引出了CORS资源共享,这样JS就可以发AJAX请求到不同源的网页了.
CORS
CORS 需要brower端和Server端都支持,目前所有browser都支持. brower一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉
XSS
新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS
https://www.jianshu.com/p/303206ae2471
https://www.netsparker.com/blog/web-security/cross-site-scripting-xss/
https://blog.csdn.net/ghsau/article/details/17027893