cookie 中留有 token 的问题

来源：11-6 xsrf 防御 - demo 编写

paopaomo

2020-07-22

图片描述

Hi,老师

在实际的项目中,除了把 X-XSRF-TOKEN-D 加入 header 中以让后端进行验证,是不是应该把浏览器的自动行为(Cookie中的X-XSRF-
TOKEN-D 字段删掉),否则,攻击者仍然可以从cookie里拿到token,然后添加到header中,冒充用户发送请求?

写回答

1回答

ustbhuangyi

2020-07-23

不会有问题的，因为这个 token 每次访问页面都会重新生成并下发新的，攻击者通过第三方页面攻击，使用的 cookie 中的 token 是旧的。

paopaomo

ustbhuangyi

好的，明白了，谢谢老师！

2020-07-25

共3条回复

下一代前端开发语言 TypeScript从零重构axios

课程从零开始重构功能完整的JS库，是学习造轮子的不二之选！

2633 学习 · 877 问题

相似问题

回答 1

回答 1

回答 1

回答 1

回答 1