http八股 跨域的本质 请求行 请求头 请求体 xss

 


1小八股

介绍 http 请求分为三个部分,请求行,请求头,请求体
还有状态码的含义
https://juejin.cn/post/7096317903200321544

2tips

Content-Type 影响 chrome 调试时的显示方式
如果是 Content-Type: application/json 浏览器只能显示 request Payload
如果是 Content-Type: multipart/form-data 或 Content-Type: application/x-www-form-urlencoded 浏览器会显示 formData
https://blog.dianduidian.com/post/form-data与request-payload的区别/

3小八股

跨域及处理方案
https://xie.infoq.cn/article/5156a813bf49b0ca0feada736

4大八股

跨域问题的本质:为了防范 CSRF 攻击

  来源:https://catcat.cc/post/2020-06-23/
  CSRF 攻击原理是创建假网站,诱导用户从该网站上向服务器请求资源,该攻击方式可以窃取用户 cookie 伪造用户身份
  如何避免,就是通过跨域策略,浏览器拦截服务器返回的响应,如果服务器只允许同源网站访问,那么就会拦截该响应
  我们写前端的时候,如果和服务器不同源,我们就会被当成假冒网站,被浏览器拦截
  可以通过代理等方式绕过跨域,也可以让后端对不需要保护的资源开放跨域
  服务端开放跨域之后还有另外一种办法保证请求是来自正规网站,而非假冒网站,那就是 CSRF token ,用户请求资源的时候需要带着浏览器中的cookie和正规网页中的token
  如果是假冒网站,假冒网站能访问到cookie,但是访问不到token

xss攻击

  其中还提到了xss攻击,xss攻击利用不明参数进行攻击,不明参数攻击只能攻击到jsp,php等模板渲染网站,像vue这种需要dom攻击(因为是前端页面处理的url),一些带评论的网站用存储型攻击
  xss是注入攻击的一种,sql注入也是注入攻击
【注】:他文章中提到的第一方第三方,第一方是指用户当前使用的网站,不管是正规还是假冒,第三方是指服务器
  xss只包含第一方,所以不会有跨域问题
  美团技术博客中详细介绍了几种xss攻击,并没有涉及到跨域关键词
  https://tech.meituan.com/2018/09/27/fe-security.html

posted @   dou_fu_gan  阅读(58)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示

目录导航