- 标签
- Origin
CSRF 如何防御:Token、SameSite、Origin 与 Referer
系统组合 SameSite、同步 Token、双重 Cookie、Origin 和 Referer 校验,构建敏感接口的多层 CSRF 防御。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
浏览器怎么判断是不是同一个网站:Origin、Site 与同源策略
浏览器通过Origin和Site两个标准判断请求归属:Origin由协议、主机和端口组成(如https://api.example.com:443),仅路径不同也算同源;Site则基于协议和可注册域名(如github.com),不同端口或子域名可能同站。同源策略限制脚本跨源读取数据、Cookie、localStorage等敏感资源,但允许跨源图片、表单提交等非敏感请求。SameSite策略通过判断站点边界控制Cookie跨域发送,需结合Public Suffix List识别可注册域名(如www.example.com与example.com同站)。常见误区包括:跨源不一定跨站(如不同端口下同站)、同源策略不阻止跨源请求到达服务器(主要限制脚本读取)、Node.js等后端环境不受同源策略限制。正常逻辑流程:同源需协议、主机、端口一致;同站需协议+可注册域名相同。浏览器核心执行文档中需强调SameSite与同源策略的区分,避免混淆CORS防护边界和同站逻辑设计。
- 2026/07/13 11:13
- 1
- 0
- 0
- 24.1℃