Network

本文深度剖析了获取元数据请求头 (Fetch Metadata Request Headers) 这一现代浏览器安全机制。内容系统性地阐述了 Sec-Fetch-Site, Sec-Fetch-Mode, Sec-Fetch-Dest, Sec-Fetch-User 等核心头部，并结合流程图与服务端代码示例，展示了如何利用这些由浏览器保证真实性的上下文信息，来构建针对 CSRF、XSSI 等跨站威胁的纵深防御体系。

本文深度剖析了 CSRF (Cross-Site Request Forgery) 攻击的底层机制与纵深防御策略。内容系统性地阐述了攻击者如何利用用户的已认证会话来伪造请求，并通过序列图进行可视化。笔记重点拆解了两种核心防御手段——SameSite Cookie 属性和反 CSRF 令牌（Synchronizer Token Pattern）。

本文深度剖析了 HTTP Cookie 作为 Web 应用状态管理核心的机制与安全策略。内容系统性地阐述了 Cookie 的工作原理，详细解析了其生命周期、作用域和安全相关的各大属性（如 Max-Age, Path, HttpOnly, Secure, SameSite），并探讨了会话管理（Session Management）和 Cookie 签名等高级安全实践。

本文深度剖析了实现 Web 实时或近实时通信的四种核心技术，系统性地阐述了从传统的短轮询、长轮询，到现代基于持久连接的 Server-Sent Events (SSE) 和 WebSocket 的演进。笔记通过序列图和代码示例，详细对比了每种技术的内部机制、性能开销、通信模型及适用场景。

本文深度剖析了浏览器的跨源资源共享（CORS）机制。内容从其根基——同源策略（Same-Origin Policy）——入手，系统性地阐述了简单请求和预检请求（Preflight Request）的判定条件与工作流程。