2021.09.06 星期一

        token机制：当用户登录时，服务器会生成一个token并返回给客户端，客户端可以将其存在cookie或者storage里面，以后客户端请求的时候携带该token，和服务器的token进行比较，如果相同，则可以返回数据给客户端。

 该token是存储在了storage中。

        xss攻击：指恶意攻击者会往Web页面里插入script代码，当用户浏览该页面时，嵌入Web里面的script代码会被执行，从而会出现一些惨象。xss有两大类：存储型（持久型）和反射型（非持久型）。反射型是指用户访问某个url的时候导致个人信息的泄露，是一次性的；存储型是指只要有用户访问该网页，就会受到攻击，就像是留言板，某些用户访问该留言板时，就会受到攻击。

        csrf：指在未经你许可的情况下用你的名义发送恶意请求（比如修改密码，银行转账等），一般黑客都会通过xss配合csrf来盗取银行密码等。

之后又看了几个xss和csrf结合完成一些恶意请求的实例，跟以前那些木马网站之类的非常相似，我对这些还挺感兴趣的，之后会继续带着学习并且学习如何防止出现这些情况。

        明天计划：1、跟着语雀里面的前端练习生计划，学习css的一些内容，并用css写出一些特效；2、继续跟着之前进度取学习算法题。