- Ajax 请求会受到浏览器同源策略的制约
- Cookie 的 SameSite 属性表示该 Cookie 是否能被跨站发送
same origin 同源:
源(origin)= 协议(scheme)+ 主机名(hostname)+ 端口号(port)
same site 同站:
站(site)= eTLD+1 子域名不影响
https://www.example.com.cn
- eTLD:com.cn
- eTLD+1:example.com.cn
eTLD 由 Mozilla 维护在 Public Suffix List (https://publicsuffix.org/list/public_suffix_list.dat)中,
而site 定义是 eTLD+1
资料:https://web.dev/i18n/en/same-site-same-origin/
=============================================
cookie的samesite属性:
防止CSRF攻击
strict: 只有在same-site情况下,才能sent cookie
lax:在same-site和cross-site使用get的情况下(navigating to the origin site i.e. when following a link)
none: 任意其他页面都可以
