预防 CSRF 攻击:同站 cookie

http 允许在第三方网站发起对第一方网站的请求中,携带第一方网站的 cookie ,这很不安全。Google 起草了一份草案来改进 HTTP 协议,那就是为 Set-Cookie 响应头新增 SameSite 属性,它用来标明这个 cookie 是个“同站 cookie”,同站 cookie 只能作为第一方 cookie,不能作为第三方 cookie。

SameSite 有两个属性值,分别是 Strict 和 Lax

web 安全预防

针对 XSS、CSRF 攻击的常规做法

常见的 web 安全问题

因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。浏览器每次 http 请求都会携带 cookie 发个服务器,服务器通过 cookie 记住该用户的状态。但是 cookie 最初被设计成了允许在第三方网站发起的跨站请求携带,这成了 http 一个的安全漏洞。

正向代理与反向代理的解释

如果你喝醉了酒,不想酒驾被抓,你会想到找个代驾的司机。如果你不小心摊上官司了,而你不懂法律,你会想到找一个代理律师。这就是代理的意义。而网络代理分正向代理和反向代理。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×