A: same origin指的是http(s):// 后面的url，如果是子域名是可以通过修改属性提升origin的

B: 如果你用过ajax就知道跨域传输一般来讲是不行的，除非服务器配置了跨域header

C: csrf全称是cross site  request forgery，csrf-token才有用，同源没卵用

D: 如果同源可以防止xss攻击那就不会有xss了