[计算机网络-Web协议详解与抓包实践] 浏览器的同源策略

为什么需要同源策略？

没有同源策略下的Cookie

浏览器的同源策略

安全性与可用性需要一个平衡点

跨站请求伪造攻击

盗取cookie

伪造网站

小结

浏览器的同源策略，是在安全性和可用性的一个平衡
针对CSRF攻击，防御的方式，可以：

1. 使用referer头部，当请求从攻击者网站发出时，浏览器会自动添加referer头部，此时，服务器通过验证referer头部即可
2. 通过给请求添加token，使得每次请求具备唯一性，服务器通过验证token，即可确认请求是否是用户发出