ajax – 为什么恶意站点在攻击之前不能通过GET获取CSRF令牌?
发布时间:2020-12-16 02:52:52 所属栏目:百科 来源:网络整理
导读:如果我理解正确,在CSRF攻击中,恶意网站A会告诉我的浏览器向网站B发送请求.我的浏览器会自动在我的请求中包含我的B Cookie.虽然A看不到这些cookie,但如果我已经在B中进行了身份验证,则请求看起来是合法的,并且无论采取什么行动都会成功执行.为了避免这种情况,
如果我理解正确,在CSRF攻击中,恶意网站A会告诉我的浏览器向网站B发送请求.我的浏览器会自动在我的请求中包含我的B Cookie.虽然A看不到这些cookie,但如果我已经在B中进行了身份验证,则请求看起来是合法的,并且无论采取什么行动都会成功执行.为了避免这种情况,每当我访问包含表单的B页面时,我都会收到一个CSRF令牌.这个令牌与我的会话相关联,所以如果我向B发布一个POST,我必须包含这样的令牌;否则B拒绝我的请求.此方案的好处是A将无法访问该令牌.
我有两个问题: >以上描述是否正确? 谢谢! 解决方法
你的描述是正确的.
如果站点A告诉您的浏览器转到B并获取令牌,那很好,但因为它是跨域请求,A将无法访问Javascript中的令牌(这是一个浏览器功能).因此,当A告诉您的浏览器返回B并实际执行某些操作时,它仍然无法在请求中包含该令牌. 也就是说,除非B将令牌设置为cookie.显然,这将是有缺陷的,因为令牌cookie也将被发送,从而否定任何保护.因此,在这种情况下,令牌必须作为表单值或请求标头(或其他不像cookie一样自动发送)发送. 这也意味着如果B容易受到跨站脚本攻击,它也容易受到CSRF的攻击,因为令牌可能会被盗,但CSRF则是一个较小的问题. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |