这篇文章介绍的方法:
第二步后端是如何把token给前端的如果是一个请求的话 那网站在发送这个获取token的请求后,黑客一样可以看到cookie,然后伪造给下一个请求,起不到防御的作用。
请问第二步是怎么做的?
前后分离架构,一般token都是 service端生成,redirect回前端的时候带在url的参数里的。理论上黑客侵入了浏览器当前域名下执行的js是可以获取到token的。比如tamperMonkey这类插件执行的脚本
1.4m articles
1.4m replys
5 comments
56.7k users