风险不在于发出请求的网站。
例如:
- 爱丽丝访问她的银行并登录。
- 然后,她访问邪恶站点。
- 邪恶网站使用Javascript导致爱丽丝的浏览器向她的银行提出请求
- 她的银行以Alice的帐户详细信息作为响应并将其传递给Javascript
- 然后,Javascript将它们传递给Evil Site的控制器
简而言之,它可以防止攻击者从具有Alice身份的任何站点(以及位于防火墙之后的站点,例如Alice的公司Intranet)读取私有数据。
请注意,这不会阻止不依赖于能够从站点(CSRF)读取数据的攻击,但是如果没有相同来源策略,针对CSRF的标准防御将很容易被击败。
