csrf防御
来源:11-3 xsrf 防御 - 需求分析
慕九州5549167
2020-03-11
1.浏览器访问安全站点A,A会产生cookie存在客户端,以后只要是访问了A(不管是客户端访问,还是恶意站点B),都会自动带上A对应的cookie,所以造成CSRF,是这样吗
2.然后token的关键点其实是在于只有同源页面可以读取cookie中的token然后加到请求头中。恶意站点B虽然可以让客户端访问A发起请求,但只能是浏览器自己带上cookie(cookie还是符合A要求的),并不能设置要求的请求头,所以验证就不能通过。
不知道是不是这样子。
3.突然又有个疑问,上节课不是说过跨域请求不是不会默认携带请求域下的cookie么?恶意站点B要求访问A为啥会带上A的cookie
写回答
1回答
-
ustbhuangyi
2020-03-11
建议再仔细去听课程,xsrf 产生的原因以及防御手段应该说的比较清楚了,当 B 请求 A 的接口,设置 withCredentials: true,才会携带 A 的 cookie。
00
相似问题