当做CSRF攻击的时候 攻击的页面可以请求拿到验证码吗 可以的话验证码的防御不就失效了吗
来源:4-4 CSRF防御-验证码
seven_巨蟹
2019-04-16
第三方网站通过xss攻击拿到cookie之后 发送获取验证码图形的请求 完全是可以拿到验证码图片进行解析 并且此时验证码跟cookie在后台的关联也是有的 这个感觉防不住啊
写回答
1回答
-
TooooBug
2019-06-12
所以我们先讲了XSS的防御。CSRF的防御是建立在没有XSS漏洞的基础上的。
不过XSS+CSRF的攻击结合起来的话好像也没那么容易,难度不小。
最核心的点是需要建立目标网站和CSRF攻击网站的用户关联,即识别到这两个站的访问者是同一个人,暂时能想到的是访问攻击网站必须由目标网站跳过去,并且带上用户标识。(否则由于同源策略限制,攻击网站识别不到目前访问者对应的目标网站用户是谁,也就识别不到应该给对应的哪个验证码)
00
相似问题