1. 程式人生 > >對跨域的一些認識

對跨域的一些認識

跨域,這個名詞已經很多次映入我的視野,今天決定要好好的瞭解一番。

     由於http協議是無狀態的,伺服器不會記住與瀏覽器之間的會話,所以一般是通過伺服器與瀏覽器是通過cookies來記錄網站登陸使用者的基本資訊,之所以使用者登入成功之後就不需要再進行登入了,是因為瀏覽器的cookies中存著使用者的與伺服器認證的資訊。每一個http請求都會帶著cookies訪問伺服器,伺服器通過請求中帶著的cookies來記憶該請求的使用者和基本資訊,假如瀏覽器的cookie被別人拿到了,別人利用這個cookie可以請求的url就跟自己的賬號一樣,可以進行任何操作。xss攻擊:有一種利用指令碼構建彈窗可以引導被攻擊者主動把cookie發給攻擊者。可以通過在cookie中設定了HttpOnly屬性,這樣js指令碼就不能讀取到cookie的資訊,就算誤點選了構造出彈窗也不會帶著cookie資訊請求。