归档: 2016/4

0

实习招聘面试经历-3

1.跨域 讲jsonp的原理,实现 jsonp的安全性:当时自己说的是可不可以判断来源,比如请求头,域名.然后面试官说jsonp是get请求,没有origin的.我又猜测用reffer? 嗯,这个对了;我还猜测是不是用cookie和session.但是直接的script请求是不能带上这个的.面试官让我再想,我就猜可不可以传多一个验证的字段验证身份.对了.后面自己看书发现了这种方法就是token.记录如下:先介绍CSRF: 跨站请求伪造,cross site requrest forgery.意思是跨域发出请求,请求是身份认证后的(除了referer不一样,cookie是一样的)原理: 受害者必须依次完成两个步骤:  1.登录受信任网站A,并在本地生成Cookie。  2.在不登出A的情况下,访问危险网站B。cookie发送:如果是内存cookie,都可以正常发送,如果是本地cookie,需要带有p3p属性.get请求可以通过img等标签,post请求直接通过form表单提交.  CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!