首先,參考文章寫得非常棒,最近在看個東西,正好看到X-XSRF-TOKEN這個頭,之前沒見過,所以就查了下,貌似是防禦xsrf攻擊用的,自己對xsrf不甚瞭解,所以就查了些文章,其中參考文章是寫得最詳細的了,記錄一下自己的理解過程。
很多文章裏都提到了,xsrf是自己建一個網站A,然後你知道B網站有個請求get,然後有人登錄過B,又訪問了你的網站A,點了你網站上的一個按鈕,發送了請求get到B,於是,從你的網站A上發出的這個請求get,由於瀏覽器的cookie共享策略,而帶上了網站B的cookie信息,當然請求的參數可能被你改了。
當時我看到這裏,第一反應是,從A發這個請求get到B,這難道不是跨域,我在這個問題上卡了不少時間,其實是我犯傻了,習慣地以爲這請求一定是ajax發的,其實這確實就是個跨域請求,這個請求不是通過ajax,而是通過img,script這樣的方式來發送,如果是個post,那就通過form提交操作來完成。
當然現在這種方式已經有了幾種防禦的方式,但是比起xss,感覺這種方式有一種類似借刀殺人的妙處,可能比喻不恰當。