了解CSRF之前的必备知识

1、同源策略

　　同源策略-三个相同：协议、域名、端口

　　举例说明：

　　　　源URL为：http://www.example.com/dir/page.html

　　　　协议为：http

　　　　域名为：www.exampe.com

　　　　端口为：80(可以省略)

　　　　同源情况如下：

　　　　　　http://www.example.com/dir/otherpage.html (同源)

　　　　　　http://example.com/dir/page.html (不同源 [域名不同] )

　　　　　　http://111.com/dir/page.html (不同源 [域名不同] )

　　　　　　http://www.example.com:8080/dir/page.html (不同源 [端口不同] )

　　　　同源目的：

　　　　　　保证用户信息的安全，防止恶意的网站窃取数据

　　　　限制范围：

　　　　　　Cookie，LocalStorage和IndexDB无法读取

　　　　　　Dom无法获取

　　　　　　AJAX请求不能发送

2、Cookie的两个重要属性

　　Domain：当前要添加cookie的域名归属，未知名默认为当前域名

　　　　　　  www.test.com 添加的 cookie 的默认域名为 www.test.com

　　Path：　当前要添加的cookie的路径归属，未知名默认当前路径

　　　　　　www.test.com/java/hostpot.html 添加的cookie的默认路径为 /java/

3、浏览器提交Cookie需要满足的两点

　　当前域名或者父域名下的cookie

　　当前路径或者父路径下的cookie

　　举例说明：

　　　　以 blog.test.com/ 为例

　　　　cookie1:[name=value,domain=.test.com path=/]

　　　　　　可以 .test.com 是 blog.test.com 的父域名

　　　　cookie2:[name=value,domain=blog.test.com path=/java/]

　　　　　　不可以 path 不一致

　　　　cookie3:[name=value,domain=www.test.com path=/]

　　　　　　不可以 域名不一致

　　　　cookie4:[name=value,domain=blog.test.com path=/]

　　　　　　可以 域名和Path都严格的保持了一致

最新文章

1. spring MVC 尝试传参json（应用部分）
2. java语法基本知识
3. Java cookie和session介绍与区别
4. june 14
5. java的集合框架最全详解
6. BZOJ3567 : AABB
7. BZOJ3755 : Pty爬山
8. docker 运行挂载磁盘
9. ASP.NET快速开发框架、这才是高大上档次后台管理UI界面
10. C++的Json解析库：jsoncpp和boost
11. js获取文本的行数
12. 基础环境系列：PHP7.3.0并连接pache/IIS和MySQL
13. NodeJS学习笔记 - Apache反向代理集成实现
14. Java 设置PDF文档背景——单色背景、图片背景
15. 【.NET架构】BIM软件架构01：Revit插件产品架构梳理
16. maven中经常使用的插件
17. angular封装jquery插件（组件）
18. sublime text3 --前端工程师必备
19. [leetcode]从中序与后序/前序遍历序列构造二叉树
20. 20145333 《Java程序设计》第二次实验报告

热门文章

1. 4G DTU为什么要具有透传的功能
2. Mybatis日记
3. 7 apache和nginx的区别
4. 论文解读 - MaskGAN:BETTER TEXT GENERATION VIA FILLING IN THE _____
5. 痞子衡嵌入式：超级下载算法(RT-UFL)开发笔记（1） - 执行在不同CM内核下
6. Java8 新特性 —— 函数式编程
7. XML fragments parsed from previous mappers already contains value for
8. flex-shrink值的计算
9. JavaScript中.、[]与setAttribute()在设置属性上的区别
10. Markdown文档示例