网络协议

[lewenweijia]

https安全的吗
不是.

1. TSL层一下的数据不是安全的, 中间设备可以获取ip和端口号, 了解到客户端和哪些主机/服务进行通信
2. MITM攻击. 例如抓包工具对https的抓包支持. 通过非法手段在客户端安装根证书, 那么中间人将被信任

first-party: 第一方cookie
third-party: 第三方cookie

cookie很多时候只是"为了解决你是谁"的问题的啊

默认使用cookie来存储sessionid的方案
CSRF依赖于: 浏览器总是请求源的时候, 将该源的相关cookie带上

同源cookie? 我们的期望总是: cookie仅仅作为第一方cookie进行发送, 而不是在第三方上下文中进行发送

某些cookie, 我们压根仅希望其作为第一方cookie进行发送, 例如身份凭证;
而有些cookie则期待能为其他网站提供丰富的第三方cookie上下文的某些定制人性化服务,
 例如内嵌youtube适配播放器, 如果登录态? 那么有添加到"稍后再看"菜单中!
``

某些资源就是用来方便嵌入到其他网站里面的啊, 通过专门作为第三方cookie的操作, 来实现
其他网站的嵌入也可以有很好的用户体验

`!web默认是开放的才对, 不透明才是可选小众的`