为什么 token可以防止 csrf?

Token被用户端放在Cookie中（不设置HttpOnly），同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie，不能操作Cookie来获取到Token并加到http请求的参数中。

作者：匿名用户
链接：https://www.zhihu.com/question/21385375/answer/208281970
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

posted @ 2017-09-20 12:32 Dus 阅读(3993) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部