_token是什么东西啊，有什么用，登录的时候为什么要带着它

我没理解“防止跨站请求”这句话的意思

源自：爬虫基础 3-18 设置状态保持session(一)

收起

1回答

好帮手慕美 2021-03-07 11:52:47

同学，你好！

1、token是一个验证用户是否登录的凭证，客户端第一次登录，服务器确认登录并返回有期限的合法token，在客服端进行请求时携带token，服务器判断token识别合法用户，然后在执行请求。

2、同学需要先了解跨站请求：从一个网站A中发起一个到网站B的请求，而这个请求是经过了伪装的，伪装操作达到的目的就是让请求看起来像是从网站B中发起的，也就是说，让网站B所在的服务器端误以为该请求是从自己网站发起的，而不是从A网站发起的。当然请求一般都是恶意的。防止跨站请求就是为了防止该操作。

祝：学习愉快！

提问者 TeacherZhe #1

所以只要携带正确的_tolen，就可以绕开防止跨站请求的机制，实现A网站到B网站的跨站请求了？

2021-03-07 12:31:44
好帮手慕美回复提问者 TeacherZhe #2

同学，你好！并不是绕开，而是防止伪造跨站请求。携带正确的token，服务器端会对Token值进行验证，判断是否和session中的Token值相等，若相等，则可以证明请求有效不是伪造的，可以继续访问。祝：学习愉快！

2021-03-07 14:13:43