跨站

跨站即 cross-site，它和同站（same-site）相对，对协议和端口号无要求，只要两个 URL 的 eTLD + 1 一致，就能称为同站。那么什么是 eTLD 呢？

eTLD 即 effective top level domain，有效顶级域名，比如 http://juejin.cn 的 eTLD 是 .cn，http://test.org 的 eTLD 是 .org，而 http://chorer.github.io 则是 github.io（注意不是 .io）。而 eTLD + 1 指的是有效顶级域名 + 二级域名，比如对于 http://juejin.cn 来说就是 juejin.cn，对于 http://test.org 来说就是 test.org。

跨域

跨域即 cross-domain，它和同源（same-origin）相对，要求两个 URL 的协议、端口号、域名都一致才能称为同源

XSS

XSS 即 Cross-Site Scripting（跨站脚本攻击），指的是黑客将恶意代码注入页面中，只要打开页面，代码就会执行。XSS 攻击可能导致 Cookie 被窃取、个人信息泄露、劫持流量实现恶意跳转等

CSRF

CSRF 即跨站请求伪造，黑客利用请求会携带 Cookie 的特点，冒充用户身份向正常网站发出请求，执行某些非法操作。它的作用过程大概是这样的：

用户登录 http://article.com，服务器验证通过，返回 Cookie 给浏览器保存
假设 Cookie 没过期，这期间黑客诱导用户访问恶意网站 http://evil.com，这个网站中有这么一段代码：

那么恶意网站就会向 http://article.com 发起一个携带 Cookie 的请求，服务端这边验证没问题，就会把 id 为 1 的文章给删除了
这里黑客之所以可以发起 CSRF 攻击，有下面几个原因：

用户：登录了正常网站且没有登出（Cookie 有效），之后访问了恶意网站
黑客：知道执行请求的 URL 和所有的参数
服务端：只使用 Cookie 进行权限验证，没有任何针对 CSRF 的防御措施
img 是支持跨域请求的。其实黑客也可以直接发送一个 AJAX 请求，不过由于同源策略和 CORS 的限制，http://evil.com 是无法向不同源的 http://article.com 发送请求的，所以黑客使用的是天然可以跨域的 img 标签