关于token

来源：11-6 xsrf 防御 - demo 编写

y9527

2021-04-24

1.为什么要多一步塞到header中，后台在cookie中不也可以拿到吗

2.如果我从别人那里复制一份token过来（登录状态中），是不是在postman调用网站接口时就可以为所欲为了？

写回答

1回答

ustbhuangyi

2021-04-25

课程只是一个简单的演示，而真实的 csrf token 是每次访问站点动态生成的，每次都不一样，在没有请求源站点的情况下，你是没办法获取到 token 的，至于要不要 header，和后端的处理策略相关，有些会从 header 里读取这个字段，当然从 cookie 里也可以拿到

下一代前端开发语言 TypeScript从零重构axios

课程从零开始重构功能完整的JS库，是学习造轮子的不二之选！

2633 学习 · 877 问题

相似问题

回答 1

回答 1

回答 1

回答 1

回答 1