2回答

一只名叫tom的猫

有意义。首先，请求因为跨域被拦截后，会改成OPTIONS请求送达服务器，这样服务器就可以知道有人在请求。至于你说跨域POST也能修改，那因为服务器没对method进行校验，来者不拒，这是你服务器的问题。正常的API数据操作method不包括OPTIONS，OPTIONS只用来确认允许的操作。

0 0

0

千万里不及你

有的。内容安全策略(CSP，ContentSecurityPolicy)了解一下。完全禁止跨域、完全允许跨域，都是有缺陷的，当前的这种，让服务器去决定要不要允许，是比较科学的。跨站脚本攻击(XSS，CrossSiteScripting)了解一下。被跨域方的数据随随便便一个POST都被修改了？这不是自己的代码写的有问题么？不做来源校验，不做防护？

0 0

0