ycclydy的博客

说明：以SpringBoot为后端，React和Fetch为前端，举例说明。零：三条军规：以后的论述都是为绕过军规的手段：军规一： 浏览器环境中无法利用JS 获取跨域后端的 Set-Cookie响应头 军规二： 浏览器环境中无法使用直接使用JS异步发送Cookie请求头 军规三：浏览器环境中，默认不可以使用JS访问document.cookie对象一、 服务器端的设置：必须在跨域设置中加入：设置响应头 Access-Control-Allow-Credentials: true..

对于web系统而言，由于HTTP协议无状态的特性，用户登录时需要服务端生成通行证返回给浏览器。浏览器保存该通行证并在接下来的请求中携带该通行证。通常来讲，web系统使用http cookie来保存和传输通行证。本文介绍http cookie的原理、特性、并分析用其保存通行证可能遇到的安全问题。本文假设使用cookie的客户端是浏览器，虽然还有其它客户端也使用cookie，但普通用户使用更多的还是浏览器。什么是Http Cookie？一种Http状态管理机制，最早由Lou Montulli发明于1