B网站如何获取的A网站的cookies？？ xss 吗？

来源：4-2 CSRF攻击原理和危害

qq_随遇而安_1

2018-07-05

写回答

1回答

TooooBug

2018-07-24

B网站获取不到A网站的Cookie的。但是从B网站向A网站发起的请求会带上A网站的Cookie。这个过程中B网站是全程不知道你的Cookie是什么的，但是你向A网站做的请求却都是合法的。这是CSRF攻击的本质原理。

TooooBug

chanchan666

访问某个网站时，带上这个网站的cookie，这就是浏览器使用cookie的方式。这个例子中，访问A网站，带上A网站的cookie。这个没毛病。但因为这样会导致CSRF，所以现代浏览器正在实现一个新的cookie属性叫same-site，设置完之后，它会屏蔽一些场景下的cookie。课程中应该有说这个的。

2020-08-12

共2条回复

腾讯大牛亲授 Web前后端漏洞分析与防御技巧

提高每一行代码安全系数，突破前后端开发Web安全弱项

1186 学习 · 112 问题

查看课程

相似问题

csrf的第一步要获取cookies也就是说要先通过xss注入脚本获取吗？？如果注入成功那么表单上cookies不也能获取到吗？？

回答 2

b站怎么带上a站的cookie

回答 1

为什么csrf.html页面可以获得comment页面的userid？

回答 1

当做CSRF攻击的时候攻击的页面可以请求拿到验证码吗可以的话验证码的防御不就失效了吗

回答 1

拿到验证码以及破解问题

回答 1

打开慕课网App查看更多内容