通用漏洞-跨域 & CORS 资源 & JSONP跨域回调

同源策略（sop） 同源包括三个条件：同协议，同域名，同端口

浏览器安全策略
限制从一个源加载的文档或脚本与来自另一个源的资源进行交互，这是一个用于隔离潜在恶意文件的关键的安全机制
虽然同源策略在安全方面起到了很好的防护作用，但是也在一定程度上限制了一些前端功能的实现
所以就有了许多跨域的手段。

CORS跨域资源共享–突破同源策略

是HTML5的新特性，是 放宽同源策略 的机制，它允许浏览器向跨源服务器，发出xmlhttprequest请求，从而克服了Ajax智能同源使用的限制
使不同的网站可以跨域获取数据

CORS漏洞资源共享 – CSRF同源策略失败无效

获取到你的资源

用户A 登录自己的后台页面后–》访问了第三方页面–》第三方页面去请求后台或者页面内容–》用户A访问了页面同时将自己的页面内容泄露出去

jsonp

支付接口登录接口等调用第三方接口时，不是同源，怎么办，不符合同源策略

所以会设置白名单进行cors资源跨域共享
Access-Control-Allow-Origin:* 表示其他页面能搞获取此页面的资源

如何判断？

看数据包力有哪些回调？
1、F12
2、Preserve log
3、search -callback
4、查看回调信息

bp 回调插件