Apache Beam 2019编程指南中的CSRF进阶

4.2　　CSRF进阶进阶 4.2.1　浏览器的　浏览器的Cookie策略策略 在上节提到的例子里，攻击者伪造的请求之所以能够被搜狐服 务器验证通过，是因为用户的浏览器成功发送了Cookie的缘 故。 浏览器所持有的Cookie分为两种：一种是“Session Cookie”， 又称“临时Cookie”；另一种是“Third-party Cookie”，也称为“本 地Cookie”。 两者的区别在于，Third-party Cookie是服务器在Set-Cookie时 指定了Expire时间，只有到了Expire时间后Cookie才会失效，所 以这种Cookie会保存在本地；而Session Cookie则没有指定Ex- pire时间，所以浏览器关闭后，Session Cookie就失效了。 在浏览网站的过程中，若是一个网站设置了Session Cookie， 那么在浏览器进程的生命周期内，即使浏览器新打开了Tab 页，Session Cookie也都是有效的。Session Cookie保存在浏 览器进程的内存空间中；而Third-party Cookie则保存在本地。 如果浏览器从一个域的页面中，要加载另一个域的资源，由于 安全原因，某些浏览器会阻止Third-party Cookie的发送。 下面这个例子，演示了这一过程。