token不是為了防止XSS的,而是為了防止CSRF的;
CSRF攻擊的原因是瀏覽器會自動帶上cookie,而不會帶上token;
以CSRF攻擊為例:
cookie:用戶點擊了鏈接,cookie未失效,導致發起請求后后端以為是用戶正常操作,於是進行扣款操作;
token:用戶點擊鏈接,由於瀏覽器不會自動帶上token,所以即使發了請求,后端的token驗證不會通過,所以不會進行扣款操作;
cookie和token都存在在請求頭header中,有什么區別,為什么建議使用token?
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。