跨域
當一個請求 URL 的協議、域名、端口三者之間任意一個與當前頁面的不同即爲跨域。
同源策略
同源策略(Sameoriginpolicy)是一種約定,它是瀏覽器最核心也最基本的安全功能。可以說 Web 是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現。同源策略會阻止一個域的 javascript 腳本和另外一個域的內容進行交互。
CSRF 介紹
CSRF(Cross-site request forgery),中文名稱:跨站請求僞造,攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你名義發送郵件,發消息,盜取你的賬號,甚至於購買商品,虛擬貨幣轉賬…造成的問題。
CSRF 原理
使用 token 不需要解決 CSRF 的原因
token 驗證的規則是,服務器從請求體(POST)或者請求參數(GET)中獲取設置的 token,然後在服務器端進行請求攔截校驗,而 CSRF 攻擊只是借用了 Cookie,不能獲取 token,也就不能在發送請求時在 POST 或者 GET 中設置 token,把請求發送到服務器端時,token 驗證不通過,也就不會處理請求了。所以,token 可以防止 CSRF 攻擊。