首先,参考文章写得非常棒,最近在看个东西,正好看到X-XSRF-TOKEN这个头,之前没见过,所以就查了下,貌似是防御xsrf攻击用的,自己对xsrf不甚了解,所以就查了些文章,其中参考文章是写得最详细的了,记录一下自己的理解过程。
很多文章里都提到了,xsrf是自己建一个网站A,然后你知道B网站有个请求get,然后有人登录过B,又访问了你的网站A,点了你网站上的一个按钮,发送了请求get到B,于是,从你的网站A上发出的这个请求get,由于浏览器的cookie共享策略,而带上了网站B的cookie信息,当然请求的参数可能被你改了。
当时我看到这里,第一反应是,从A发这个请求get到B,这难道不是跨域,我在这个问题上卡了不少时间,其实是我犯傻了,习惯地以为这请求一定是ajax发的,其实这确实就是个跨域请求,这个请求不是通过ajax,而是通过img,script这样的方式来发送,如果是个post,那就通过form提交操作来完成。
当然现在这种方式已经有了几种防御的方式,但是比起xss,感觉这种方式有一种类似借刀杀人的妙处,可能比喻不恰当。