这是真的吗:
-
现代浏览器将"origin"标头添加到任何跨域请求中 .
-
现代浏览器在响应中查找"Access-Control-Allow-Origin"标头,如果没有此标头,则不处理响应正文 .
因此,服务器不需要使用CSRF令牌来保护用户使用现代浏览器 . 如果不希望跨域请求,服务器不需要CORS .
换句话说,这些陈述是真的吗?
-
现代浏览器保护用户数据免受XSS的影响,如果不希望跨域请求,则服务器端不需要特殊操作
仅当必须允许某些受信任域执行跨域请求时,才需要在服务器端使用 -
CORS
-
仅旧浏览器需要CSRF令牌