Cookie存在同源策略,不同的域名无法访问。例如,有A,C两个网站,C网站为恶意网站,C网站是如何获得A网站的Cookie然后向A网站服务器发送请求的?
1 回答
PIPIONE
TA贡献1829条经验 获得超9个赞
发请求自动带上的
mdn cookie
防止XSRF最好的方式是使用CSRF-token。
cookie一般用于保存信息,你向同一个服务器发请求时会带上浏览器保存的对于那个服务器的cookie,而不管你从哪个网站发请求。
所以后端需要设置Access-Control-Allow-Origin,浏览器会看你的访问网站是否是被允许的域,如果允许就发请求并能获得数据,如果不受允许那么能发请求但是js脚本无法获取返回的数据(你仍然能在NetWork中看到返回)。
可以看下这篇文章
添加回答
举报
0/150
提交
取消