如果全站采用https设置http-only、same-site、内嵌，然后禁止使用老式浏览器访问是否就不用设置csrf token了？

首页课程实战体系课手记专栏慕课教程

如果全站采用https设置http-only、same-site、内嵌，然后禁止使用老式浏览器访问是否就不用设置csrf token了？

来源：4-5 CSRF防御-token

守寅真人_

2018-11-21

如果全站采用https设置http-only、same-site、禁止内嵌，然后禁止使用老式浏览器访问是否就不用设置csrf token了？另外将csrf token放到JWT里可行么？前端分离的架构怎样设计认证策略？

写回答

1回答

TooooBug

TooooBug

2019-01-29

是的，主要靠same-site和禁止内嵌来防CSRF，http-only主要用来防止XSS。
JWT不是特别熟悉，理论上了解它的原理，但是我没有实战过JWT。因为安全方面的东西基本是漏一个点就会有大影响的，所以不好评价。

0

0

腾讯大牛亲授 Web前后端漏洞分析与防御技巧

提高每一行代码安全系数，突破前后端开发Web安全弱项

1186 学习 · 112 问题

相似问题

B网站如何获取的A网站的cookies？？ xss 吗？

回答 1

为什么csrf.html页面可以获得comment页面的userid？

回答 1

老师，请问为何浏览器要限制ajax跨域，服务端设置一下CORS过滤器就可以，逻辑是什么？

回答 1

token

回答 1

老师，请问，此处您使用的是csrf.html发送的post请求，但是整个csrf.html中并没有出现设置cookie的地方。

回答 1

打开慕课网App查看更多内容