了解CSRF之前的必備知識
1、同源策略
同源策略-三個相同:協議、域名、埠
舉例說明:
源URL為:http://www.example.com/dir/page.html
協議為:http
域名為:www.exampe.com
埠為:80(可以省略)
同源情況如下:
http://www.example.com/dir/otherpage.html (同源)
http://example.com/dir/page.html (不同源 [域名不同] )
http://111.com/dir/page.html (不同源 [域名不同] )
http://www.example.com:8080/dir/page.html (不同源 [埠不同] )
同源目的:
保證用戶資訊的安全,防止惡意的網站竊取資料
限制范圍:
Cookie,LocalStorage和IndexDB無法讀取
Dom無法獲取
AJAX請求不能發送
2、Cookie的兩個重要屬性
Domain:當前要添加cookie的域名歸屬,未知名默認為當前域名
www.test.com 添加的 cookie 的默認域名為 www.test.com
Path: 當前要添加的cookie的路徑歸屬,未知名默認當前路徑
www.test.com/java/hostpot.html 添加的cookie的默認路徑為 /java/
3、瀏覽器提交Cookie需要滿足的兩點
當前域名或者父域名下的cookie
當前路徑或者父路徑下的cookie
舉例說明:
以 blog.test.com/ 為例
cookie1:[name=value,domain=.test.com path=/]
可以 .test.com 是 blog.test.com 的父域名
cookie2:[name=value,domain=blog.test.com path=/java/]
不可以 path 不一致
cookie3:[name=value,domain=www.test.com path=/]
不可以 域名不一致
cookie4:[name=value,domain=blog.test.com path=/]
可以 域名和Path都嚴格的保持了一致
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/228720.html
標籤:其他
上一篇:推薦設計10大接單平臺
下一篇:博客園美化踩坑之路