the*_*one 6 browser security ajax csrf csrf-protection
如果我理解正确,在CSRF攻击中,恶意网站A会告诉我的浏览器向网站B发送请求.我的浏览器会自动在该请求中包含我的B Cookie.虽然A看不到这些cookie,但如果我已经在B中进行了身份验证,则请求看起来是合法的,并且无论采取什么行动都会成功执行.为了避免这种情况,每当我访问包含表单的B页面时,我都会收到一个CSRF令牌.这个令牌与我的会话相关联,所以如果我向B发布一个POST,我必须包含这样的令牌; 否则B拒绝我的请求.此方案的好处是A将无法访问该令牌.
我有两个问题:
谢谢!
你的描述是正确的.
如果站点A告诉您的浏览器转到B并获取令牌,那很好,但因为它是跨域请求,A将无法访问Javascript中的令牌(这是一个浏览器功能).因此,当A告诉您的浏览器返回B并实际执行某些操作时,它仍然无法在请求中包含该令牌.
也就是说,除非B将令牌设置为cookie.显然,这将是有缺陷的,因为令牌cookie也将被发送,从而否定任何保护.因此,在这种情况下,令牌必须作为表单值或请求标头(或其他不像cookie一样自动发送)发送.
这也意味着如果B容易受到跨站脚本攻击,它也容易受到CSRF的攻击,因为令牌可能会被盗,但CSRF则是一个较小的问题.:)