为什么跨域Ajax是安全问题？

为什么不允许Ajax HTTP请求跨越域边界。

因为AJAX请求是（a）使用用户凭据提交的，并且（b）允许调用方读取返回的数据。

这些因素的组合可能导致漏洞。有建议添加一种省略用户凭据的跨域AJAX形式。

您只需将img，脚本或iframe元素添加到文档中

这些方法均不允许调用者读取返回的数据。

（除非脚本经过故意设置以允许这种情况，允许的跨域脚本编写，或者有人进行了可怕的模仿）。

您可以完全不使用XSS进行攻击。发布到第三方网站

这不是XSS攻击。这是跨站点请求伪造攻击（XSRF）。有解决XSRF攻击的已知方法，例如包含一次性令牌或加密令牌，以验证提交是否有意来自用户并且不是从攻击者代码启动的。

如果您允许跨域AJAX，则将失去此保护措施。攻击代码可能从银行网站请求一个页面，读取该页面上的所有授权令牌，然后在第二个AJAX请求中提交它们以执行转移。那
将 是跨站点脚本攻击。