token不是为了防止XSS的,而是为了防止CSRF的;
CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token;
以CSRF攻击为例:
cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作;
token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作;
cookie和token都存在在请求头header中,有什么区别,为什么建议使用token?
免责声明!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。
猜您在找
vue中cookie的使用——将cookie放在请求头header中
token字段,请务加在请求地址的头部header
将Token添加到请求头Header中
react native 中 fetch获取请求头header 的token信息
ajax请求头设置 | header 传token
cookie和token都存放在header中,为什么不会劫持token?
cookie和token都存放在header中,为什么不会劫持token?
ajax如何在请求头中传token值
在ajax请求后台时在请求标头RequestHeader加token
在ajax请求后台时在请求标头RequestHeader加token