之前写过两篇文章分别介绍了 Cookie 和 JSON Web Token，很多网站会在用户登录完毕设置 Cookie 值或者返回一个 Token，这就相当于令牌，只要拿着这张令牌就等同于证明了你是某个用户。如果防御不到位，Cookie 和 Token 很容易被 XSS 攻击窃…

作为姊妹篇，建议先食用一个真实例子了解XSS攻击。 后面会这总结两种攻击和Cookie的samesite、httponly属性的关系。 网上冲浪这些年，经常能听到的一句话：“别点那个链接，小心有病毒！”。那么问题来了，我就点击一个链接怎么就能染上病毒了呢？这个‘病毒’是怎样盗走…

浏览器有一个重要的同源策略，源=协议+主机+端口 大部分的跨域问题，都是通过代理解决的 要实现JSONP，需要浏览器和服务器配合 CORS：如果浏览器要跨域访问服务器资源，需要服务器允许

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…