标签: cors csrf cross-site csrf-token
我以前认为CORS政策旨在防止跨站点请求伪造。但是,我读到即使仅进行简单攻击也不足以提供保护,因此您应始终实施会话令牌以防止CSRF。关于这个主题,我有两个问题。
1)那么CORS的目的是什么?
2)使用令牌真的那么安全吗?如果有人设法窃取令牌,他仍然可以提出授权请求。
谢谢。