所以说，结论是：SQL注入与AJAX无关

AJAX和HTTP请求的差别

AJAX请求的XMLHTTPRequest对象就是浏览器开放给JS调用HTTP请求用的。

那么AJAX和HTTP的差别呢？列出以下几点：

• AJAX请求受到浏览器的同源策略限制，存在跨域问题

• 大年夜应用角度上说，AJAX应用简单一点，少了些底层细节，多了些浏览器特点（如主动带上同域cookie等）

• 所以说，和认证上的HTTP请求的差别就是-多了一次浏览器的封装罢了（浏览器会有本身的预处理，加上特定限制）

然则，大年夜最终发出的报文来看，内容都是一样的（HTTP协定规范的内容），AJAX是发送HTTP请求的一种方法

所以大年夜这一点可以得出一个结论：AJAX本质上安然性和HTTP请求一样

CORS与AJAX安然性之间的接洽关系

按照前文中提到的内容，根本无法得出AJAX与请求不安然的接洽关系。那么接下来，再持续分析，如不雅应用了跨域资本共享（CORS）后的安然性。
(因为往往ajax都邑伴跟着CORS)

CORS与AJAX关系的简介

1. 前端AJAX请求前发出一个OPTIONS预检，会带一堆相干头部发送给办事端

2. 办事端在接收到预检时，检查头部，来源等信息是否合法，合轨则接下来许可正常的请求，
不然直接无情的拒绝掉落

3. 浏览器端如不雅收到办事端拒绝的信息（响应头部检查），就抛出对应缺点。

为何会有这种说法？因为在Web应用中，客户端输入弗成信是一个基来源基本则

要乞降响应的头晨信息大年夜概如下：

Request Headers

// 在CORS中专门作为Origin信息供后端比对，表示来源竽暌跪。 
Origin: http://xxx 
Access-Control-Request-Headers: X-Requested-With 
// 所有效setRequestHeader办法设置的头晨都将会以逗号隔开的情势包含在这个头中，一般POST请求中就会带上 
Access-Control-Request-Method: OPTIONS 

Response Headers

Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept 
Access-Control-Allow-Methods: GET, POST, OPTIONS 
Access-Control-Allow-Origin: http://xxx 

最终，客户端发出的请求，必须相符办事端的校验规矩才能精确，办事端才会返回精确头部，不然只会请求掉败。报跨域缺点。

以上仅是简介，更多信息可以参考来源中的ajax跨域，这应当是最全的解决筹划了

为什么要设备CORS？

因为同源策略限制，AJAX无法请求跨域资本，CORS可以解决AJAX跨域请求问题。

是以：在本文中，设备CORS只是为了AJAX能跨域请求

CORS会设备些什么信息？

AJAX在进行复杂请求时，浏览器会预先发出OPTIONS预检（HTTP本身是不会预检的）

Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept 
Access-Control-Allow-Methods: GET, POST, OPTIONS 
Access-Control-Allow-Origin: http://xxx