跨域,这个名词已经很多次映入我的视野,今天决定要好好的了解一番。

     由于http协议是无状态的,服务器不会记住与浏览器之间的会话,所以一般是通过服务器与浏览器是通过cookies来记录网站登陆用户的基本信息,之所以用户登录成功之后就不需要再进行登录了,是因为浏览器的cookies中存着用户的与服务器认证的信息。每一个http请求都会带着cookies访问服务器,服务器通过请求中带着的cookies来记忆该请求的用户和基本信息,假如浏览器的cookie被别人拿到了,别人利用这个cookie可以请求的url就跟自己的账号一样,可以进行任何操作。xss攻击:有一种利用脚本构建弹窗可以引导被攻击者主动把cookie发给攻击者。可以通过在cookie中设置了HttpOnly属性,这样js脚本就不能读取到cookie的信息,就算误点击了构造出弹窗也不会带着cookie信息请求。

版权声明:本文为pechai原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/pechai/p/9788516.html