关于cookie和CRSF的一些认识

1.限制cookie作用域的只有domain和path，和端口无关，不同端口的cookie可以共享
2.sameSite属性是用来防止crsf攻击的，表明什么时候携带cookie;有三个属性 Strict,只有请求来源的域名和请求的域名一致时才会携带cookie;Lax(默认值)，相比稍微放松了些，在请求来源和请求的域名不同的情况下，通过href或者get表单提交是会携带cookie的；None；在请求来源和请求的域名不同的情况下可以携带cookie；没有限制(这里说的不同域名是指域名或ip不一致，端口不同cookie是当作同一域的，上面也说过)
3axios.defaults.withCredentials=true可以让axios在发送跨域请求时携带上页面的cookie

什么是CRSF
答：就是用户在登录了网站a的情况下在其它标签页又打开了攻击网站b，网站b有个指向网站a的伪造请求，这样就导致了在网站b上向a发送了带有登录cookie的有害的伪造请求，这就是一个了跨站点请求伪造（CRSF)