TA贡献1772条经验 获得超8个赞
这么来说吧,Cookies是浏览器自动添加的。这是CSRF攻击的原理。
但是token是无法由浏览器添加的,无法被跨站得到的,这是CSRF的前提,CSRF中的CS就是Cross Site,跨站。token存在的意义就是,获取token时,将token放在跨站无法得到的数据之中,而验证token时,token必须出现在指定位置。
所以token在验证时就肯定不存在cookies之中,也就不会被浏览器自动带上
TA贡献2016条经验 获得超9个赞
CSRF的请求是在另外一个域中发出的,自然无法访问正确域的cookie
数据结构与算法(前端版)
¥ 58.00
Web前端开发修炼指南
解锁前端面试体系核心攻略
¥ 78.00
高薪之路—前端面试精选集
JavaScript 设计模式精讲
¥ 48.00
举报
