Кто-то может объяснить мне, как функция «Политика одного источника» защищает нас от веб-атак (XSS, CSRF и т. Д.)?
0
Это зависит от контекста.
Если у вас есть политика «Одинакового происхождения» для выполнения сценариев на веб-сайте, то можно запускать только те сценарии, которые имеют то же доменное имя (веб-сайт), что и сам веб-сайт. Это мешает хакерам внедрять скрипты в веб-сайт через такие вещи, как хитрая реклама и тому подобное.
Если у вас есть «То же происхождение» в таких вещах, как вызовы AJAX, то сервер будет обрабатывать только запросы на вызовы AJAX, поступающие из домена веб-сайта, с которым связан сервер AJAX. Это позволяет другим сайтам ошибочно вызывать ваши подпрограммы AJAX.
Таким образом, это в основном попытка убедиться, что запросы и сценарии поступают из правильных мест и не заменяются и не вводятся хакерами.