http八股 跨域的本质 请求行 请求头 请求体 xss

目录

• 1小八股
• 2tips
• 3小八股
• 4大八股

 

---

回到顶部

1小八股

介绍 http 请求分为三个部分，请求行，请求头，请求体
还有状态码的含义
https://juejin.cn/post/7096317903200321544

回到顶部

2tips

Content-Type 影响 chrome 调试时的显示方式
如果是 Content-Type: application/json 浏览器只能显示 request Payload
如果是 Content-Type: multipart/form-data 或 Content-Type: application/x-www-form-urlencoded 浏览器会显示 formData
https://blog.dianduidian.com/post/form-data与request-payload的区别/

回到顶部

3小八股

跨域及处理方案
https://xie.infoq.cn/article/5156a813bf49b0ca0feada736

回到顶部

4大八股

跨域问题的本质：为了防范 CSRF 攻击

  来源：https://catcat.cc/post/2020-06-23/
  CSRF 攻击原理是创建假网站，诱导用户从该网站上向服务器请求资源，该攻击方式可以窃取用户 cookie 伪造用户身份
  如何避免，就是通过跨域策略，浏览器拦截服务器返回的响应，如果服务器只允许同源网站访问，那么就会拦截该响应
  我们写前端的时候，如果和服务器不同源，我们就会被当成假冒网站，被浏览器拦截
  可以通过代理等方式绕过跨域，也可以让后端对不需要保护的资源开放跨域
  服务端开放跨域之后还有另外一种办法保证请求是来自正规网站，而非假冒网站，那就是 CSRF token ，用户请求资源的时候需要带着浏览器中的cookie和正规网页中的token
  如果是假冒网站，假冒网站能访问到cookie，但是访问不到token

xss攻击

  其中还提到了xss攻击，xss攻击利用不明参数进行攻击，不明参数攻击只能攻击到jsp，php等模板渲染网站，像vue这种需要dom攻击（因为是前端页面处理的url），一些带评论的网站用存储型攻击
  xss是注入攻击的一种，sql注入也是注入攻击
【注】：他文章中提到的第一方第三方，第一方是指用户当前使用的网站，不管是正规还是假冒，第三方是指服务器
  xss只包含第一方，所以不会有跨域问题
  美团技术博客中详细介绍了几种xss攻击，并没有涉及到跨域关键词
  https://tech.meituan.com/2018/09/27/fe-security.html