不带SameSite属性的Cookie
不带SameSite属性的Cookie
提问于 2019-12-28 18:31:48
当我使用ZAP扫描一个特定的web应用程序时,它显示该站点有“没有SameSite属性的Cookie”,我读到我们可以针对此漏洞执行CSRF攻击。有人能给我解释一下怎么做吗?
回答 1
Stack Overflow用户
发布于 2020-01-10 03:49:18
CSRF攻击是通过向受害者提供具有隐藏参数的链接,并希望受害者在他的浏览器中仍有针对目标网页的活动会话的同时激活该链接来完成的。它可能会导致用户不想要的操作。
使用sameSite标志的Cookie可以降低这种风险,因为浏览器仅在给定特定条件时才发送该Cookie。
在Portswigger Academy上查看简单的示例
请注意,CSRF攻击是不合法的。如果你只是想了解这个主题,你必须用你自己的网页和你自己的cookies来尝试。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/59510067
复制相关文章
相似问题
腾讯云开发者
