如果我理解正确,在CSRF攻击中,恶意网站A会告诉我的浏览器向网站B发送请求.我的浏览器会自动在该请求中包含我的B Cookie.虽然A看不到这些cookie,但如果我已经在B中进行了身份验证,则请求看起来是合法的,并且无论采取什么行动都会成功执行.为了避免这种情况,每当我访问包含表单的B页面时,我都会收到一个CSRF令牌.这个令牌与我的会话相关联,所以如果我向B发布一个POST,我必须包含这样的令牌; 否则B拒绝我的请求.此方案的好处是A将无法访问该令牌.
我有两个问题:
谢谢!
browser security ajax csrf csrf-protection
ajax ×1
browser ×1
csrf ×1
csrf-protection ×1
security ×1