跨域
当一个请求 URL 的协议、域名、端口三者之间任意一个与当前页面的不同即为跨域。
同源策略
同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的 javascript 脚本和另外一个域的内容进行交互。
CSRF 介绍
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题。
CSRF 原理
使用 token 不需要解决 CSRF 的原因
token 验证的规则是,服务器从请求体(POST)或者请求参数(GET)中获取设置的 token,然后在服务器端进行请求拦截校验,而 CSRF 攻击只是借用了 Cookie,不能获取 token,也就不能在发送请求时在 POST 或者 GET 中设置 token,把请求发送到服务器端时,token 验证不通过,也就不会处理请求了。所以,token 可以防止 CSRF 攻击。
标签:请求,token,跨域,同源,CSRF,策略 From: https://www.cnblogs.com/feiqiangsheng/p/16654651.html