手记

关于cookie和CRSF的一些认识

1.限制cookie作用域的只有domain和path,和端口无关,不同端口的cookie可以共享
2.sameSite属性是用来防止crsf攻击的,表明什么时候携带cookie;有三个属性 Strict,只有请求来源的域名和请求的域名一致时才会携带cookie;Lax(默认值),相比稍微放松了些,在请求来源和请求的域名不同的情况下,通过href或者get表单提交是会携带cookie的;None;在请求来源和请求的域名不同的情况下可以携带cookie;没有限制(这里说的不同域名是指域名或ip不一致,端口不同cookie是当作同一域的,上面也说过)
3axios.defaults.withCredentials=true可以让axios在发送跨域请求时携带上页面的cookie

什么是CRSF
答:就是用户在登录了网站a的情况下在其它标签页又打开了攻击网站b,网站b有个指向网站a的伪造请求,这样就导致了在网站b上向a发送了带有登录cookie的有害的伪造请求,这就是一个了跨站点请求伪造(CRSF)

0人推荐
随时随地看视频
慕课网APP