CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。
token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。
而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。
cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。
查看cookie:cookie有哪些内容?
以键值对形式存储,包括键、值、domain、path、Expire / Max-age、size、HTTPOnly、secure、sameSite
单点登录:在某站点登录后,另一站点也登陆了。在一个站点登出,另一也登出了。
跨域是两个不同站点登录不能相互影响。
设置domain的值,前面带点和不带点的区别:
1. 带点:任何subdomain都可以访问,包括父domain
2. 不带点:只有完全一样的域名才能访问,subdomain不能访问(但在IE下比较特殊,它支持subdomain访问)