CSRF&SSRF-初探准备
了解CSRF之前的必备知识
1、同源策略
同源策略-三个相同:协议、域名、端口
举例说明:
源URL为:http://www.example.com/dir/page.html
协议为:http
域名为:www.exampe.com
端口为:80(可以省略)
同源情况如下:
http://www.example.com/dir/otherpage.html (同源)
http://example.com/dir/page.html (不同源 [域名不同] )
http://111.com/dir/page.html (不同源 [域名不同] )
http://www.example.com:8080/dir/page.html (不同源 [端口不同] )
同源目的:
保证用户信息的安全,防止恶意的网站窃取数据
限制范围:
Cookie,LocalStorage和IndexDB无法读取
Dom无法获取
AJAX请求不能发送
2、Cookie的两个重要属性
Domain:当前要添加cookie的域名归属,未知名默认为当前域名
www.test.com 添加的 cookie 的默认域名为 www.test.com
Path: 当前要添加的cookie的路径归属,未知名默认当前路径
www.test.com/java/hostpot.html 添加的cookie的默认路径为 /java/
3、浏览器提交Cookie需要满足的两点
当前域名或者父域名下的cookie
当前路径或者父路径下的cookie
举例说明:
以 blog.test.com/ 为例
cookie1:[name=value,domain=.test.com path=/]
可以 .test.com 是 blog.test.com 的父域名
cookie2:[name=value,domain=blog.test.com path=/java/]
不可以 path 不一致
cookie3:[name=value,domain=www.test.com path=/]
不可以 域名不一致
cookie4:[name=value,domain=blog.test.com path=/]
可以 域名和Path都严格的保持了一致
最新文章
- spring MVC 尝试传参json(应用部分)
- java语法基本知识
- Java cookie和session介绍与区别
- june 14
- java的集合框架最全详解
- BZOJ3567 : AABB
- BZOJ3755 : Pty爬山
- docker 运行挂载磁盘
- ASP.NET快速开发框架、这才是高大上档次后台管理UI界面
- C++的Json解析库:jsoncpp和boost
- js获取文本的行数
- 基础环境系列:PHP7.3.0并连接pache/IIS和MySQL
- NodeJS学习笔记 - Apache反向代理集成实现
- Java 设置PDF文档背景——单色背景、图片背景
- 【.NET架构】BIM软件架构01:Revit插件产品架构梳理
- maven中经常使用的插件
- angular封装jquery插件(组件)
- sublime text3 --前端工程师必备
- [leetcode]从中序与后序/前序遍历序列构造二叉树
- 20145333 《Java程序设计》第二次实验报告
热门文章
- 4G DTU为什么要具有透传的功能
- Mybatis日记
- 7 apache和nginx的区别
- 论文解读 - MaskGAN:BETTER TEXT GENERATION VIA FILLING IN THE _____
- 痞子衡嵌入式:超级下载算法(RT-UFL)开发笔记(1) - 执行在不同CM内核下
- Java8 新特性 —— 函数式编程
- XML fragments parsed from previous mappers already contains value for
- flex-shrink值的计算
- JavaScript中.、[]与setAttribute()在设置属性上的区别
- Markdown文档示例