摘要:
CSRF:跨站请求伪造 (cross-site request forgery) cookie伪造 用户在注册网站登录过 引诱点击(链接自动携带cookie) 防御: 加token验证 referer验证 页面来源 是否来自该站点下的页面 隐藏令牌 (类似于token 放在http请求头中) XSS 阅读全文
摘要:
1、同源策略及限制 源:协议、域名、端口 用于隔离潜在恶意文件的关键的安全机制 限制: Cookie、LocalStorage和IndexDB无法读取 DOM无法获取 Ajax请求不能发送 2、前后端如何通信 Ajax WebSocket(不受同源策略限制) CORS(支持跨域、非同源通信) 3、如 阅读全文