文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

在表单中,我可以使用会话cookie作为CSRF令牌吗?

在Web开发中,CSRF(跨站请求伪造)是一种常见的攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。为了防止这种攻击,通常会使用CSRF令牌。

基础概念

会话Cookie:会话Cookie是一种存储在用户浏览器中的小型数据片段,用于跟踪用户的会话状态。它们通常在用户关闭浏览器时失效。

CSRF令牌:CSRF令牌是一个随机生成的唯一值,服务器将其嵌入到表单中,用户在提交表单时,服务器会验证这个令牌是否匹配,以确保请求是由合法用户发起的。

会话Cookie作为CSRF令牌的可行性

使用会话Cookie作为CSRF令牌并不是一个好的做法,原因如下:

  1. 安全性问题:会话Cookie可能会被窃取或篡改,特别是在没有启用HTTPS的情况下。如果攻击者获取了会话Cookie,他们可以伪造请求,绕过CSRF保护。
  2. 不可预测性:CSRF令牌应该是不可预测的,而会话Cookie通常是可预测的,因为它们是基于会话ID生成的。
  3. 会话管理复杂性:如果会话Cookie被用作CSRF令牌,会增加会话管理的复杂性,可能导致会话管理和CSRF保护之间的冲突。

优势

  • 简单性:会话Cookie已经存在于用户的浏览器中,使用它作为CSRF令牌可以简化实现。
  • 持久性:会话Cookie可以在用户关闭浏览器后仍然存在,这在某些情况下可能有用。

类型

  • 会话Cookie:存储在用户浏览器中,通常在用户关闭浏览器时失效。
  • CSRF令牌:随机生成的唯一值,嵌入在表单中,用于验证请求的合法性。

应用场景

  • 会话Cookie:用于跟踪用户的会话状态,例如登录状态。
  • CSRF令牌:用于防止跨站请求伪造攻击,确保请求是由合法用户发起的。

解决方案

为了更好地保护Web应用免受CSRF攻击,建议使用专门的CSRF令牌,而不是依赖会话Cookie。以下是一个简单的实现示例:

后端(Node.js + Express)

代码语言:txt
复制
const express = require('express');
const crypto = require('crypto');
const bodyParser = require('body-parser');

const app = express();
app.use(bodyParser.urlencoded({ extended: true }));

// 生成CSRF令牌
function generateCSRFToken() {
  return crypto.randomBytes(16).toString('hex');
}

// 设置CSRF令牌到会话
app.use((req, res, next) => {
  if (!req.session.csrfToken) {
    req.session.csrfToken = generateCSRFToken();
  }
  next();
});

// 渲染表单页面
app.get('/form', (req, res) => {
  res.send(`
    <form action="/submit" method="POST">
      <input type="hidden" name="_csrf" value="${req.session.csrfToken}">
      <button type="submit">Submit</button>
    </form>
  `);
});

// 处理表单提交
app.post('/submit', (req, res) => {
  if (req.body._csrf !== req.session.csrfToken) {
    return res.status(403).send('Invalid CSRF token');
  }
  res.send('Form submitted successfully');
});

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

前端(HTML + JavaScript)

代码语言:txt
复制
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>CSRF Form</title>
</head>
<body>
  <form action="/submit" method="POST">
    <input type="hidden" name="_csrf" id="csrfToken">
    <button type="submit">Submit</button>
  </form>

  <script>
    fetch('/form')
      .then(response => response.text())
      .then(html => {
        const parser = new DOMParser();
        const doc = parser.parseFromString(html, 'text/html');
        const csrfTokenInput = doc.getElementById('csrfToken');
        csrfTokenInput.value = csrfTokenInput.value;
        document.body.innerHTML = doc.body.innerHTML;
      });
  </script>
</body>
</html>

参考链接

通过这种方式,可以确保CSRF令牌的安全性和不可预测性,从而有效防止CSRF攻击。

相关搜索:我可以使用会话cookie代替csrf吗?我可以使用OBS作为会话的视频输入吗?可以在Google App Engine中设置会话cookie路径吗?设置HTTP cookie时,我可以使用localhost作为域吗?我可以在表单中填充数组吗我可以在VIM中使用SPACE作为mapleader吗?我可以在Snowflake中编辑会话上下文吗?我可以在django rest框架的has_permission方法中获取Cookie值或会话值吗?我可以在PHP类中使用函数作为变量吗?我可以在映射中使用元组作为键吗?我可以在PHP中将DECLARE作为SQL语句使用吗我可以在typescript中使用符号作为记录键吗我可以在xamarin表单中使用xamarin ios页面吗我可以在代码中使用标头上发送的JWT令牌吗?我可以在salesforce中使用会话ID来获取JSON响应吗?我可以在每个会话中使用单独的查询计划缓存吗?我可以在我的端点中使用会话ID导入流程吗我可以在隐藏的表单字段中放置ASP.Net会话ID吗?在WordPress中,我可以同时提交表单和付款吗?我可以在django中以HTML格式添加表单吗
相关搜索:
页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

密码学系列之:csrf跨站点请求伪造

可以通过使用每个会话CSRF令牌而不是每个请求CSRF令牌来放宽它。...在初次访问web服务的时候,会在cookie中设置一个随机令牌,该cookie无法在跨域请求中访问: Set-Cookie: csrf_token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql...这项技术已经被很多框架实现了,比如Django 和AngularJS,因为令牌在整个用户会话中保持不变,所以它可以与AJAX应用程序很好地协同工作。 注意,使用这项技术,必须确保同源政策。...Double Submit Cookie 这个方法与cookie-to-header方法类似,但不涉及JavaScript,站点可以将CSRF令牌设置为cookie,也可以将其作为每个HTML表单中的隐藏字段插入...提交表单后,站点可以检查cookie令牌是否与表单令牌匹配。 同源策略可防止攻击者在目标域上读取或设置Cookie,因此他们无法以其精心设计的形式放置有效令牌。

2.6K20

CSRFXSRF概述

单窗口浏览器IE就不会,如我用ie登陆了我的Blog,然后我想看新闻了,又运行一个IE进程,这个时候两个IE窗口的会话是彼此独立的,从看新闻的IE发送请求到Blog不会有我登录的cookie;但是多窗口浏览器永远都只有一个进程...,各窗口的会话是通用的,即看新闻的窗口发请求到Blog是会带上我在blog登录的cookie。...Cookie Hashing(所有表单都包含同一个伪随机值) 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了,但由于网站中存在XSS漏洞而被偷窃的危险...但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHTML的Bug,可能在某些版本的微软IE中受影响。...在实现One-Time Tokens时,需要注意一点:就是“并行会话的兼容”。如果用户在一个站点上同时打开了两个不同的表单,CSRF保护措施不应该影响到他对任何表单的提交。

1.5K20

    • Spring Security 之防漏洞攻击

    使用同步令牌模式修改后的示例如下,表单中存在名为_csrf参数的CSRF令牌。...ℹ️ 有关攻击的详细描述,可见该博客:Login/logout CSRF: Time to reconsider? CSRF 和会话超时 通常,预期的CSRF令牌存储在会话中。...这意味着一旦会话到期,服务器将找不到预期的CSRF令牌并拒绝HTTP请求。以下是一些解决办法: 减少超时的最佳方法是在表单提交时使用JavaScript请求CSRF令牌。...然后使用CSRF令牌更新表单并提交。 另一种选择是使用一些JavaScript,让用户知道会话即将到期。用户可以单击按钮继续并刷新会话。 最后,预期的CSRF令牌可以存储在cookie中。...在URL中放置CSRF令牌 如果允许未经授权的用户上载临时文件是不可接受的,另一种方法是在表单的action属性中包含预期的CSRF令牌作为查询参数。这种方法的缺点是查询参数可能会泄漏。

    2.4K20

    逆天了,你知道什么是CSRF 攻击吗?如何防范?

    CSRF的背景 Web 起源于查看静态文档的平台,很早就添加了交互性,在POSTHTTP 中添加了动词, 在 HTML 中添加了元素。以 cookie 的形式添加了对存储状态的支持。...反 CSRF Token 阻止跨站点请求伪造 (CSRF) 的最常见实现是使用与选定用户相关的令牌,并且可以在每个状态下作为隐藏表单找到,动态表单出现在在线应用程序上。 1....它将一个作为 cookie 发送,并将其他令牌保存在隐藏的表单字段中。这些令牌是随机生成的。 提交表单后,客户端将两个令牌都发送回服务器。cookie 令牌作为令牌发送,表单令牌在表单数据内部发送。...试图伪造请求的攻击者将不得不猜测反 CSRF 令牌和用户的身份验证密码。一段时间后,一旦会话结束,这些令牌就会失效,这使得攻击者难以猜测令牌。 2....在此过程中,cookie 被发送给第三方,这使得 CSRF 攻击成为可能。 3. 相同的站点 Cookie 属性 为了防止 CSRF 攻击,可以使用同站点 cookie 属性。

    2K10

    网络安全威胁:揭秘Web中常见的攻击手法

    攻击者可以在自己的网站上嵌入上述表单,当用户在已经登录的状态下访问攻击者的网站时,表单会自动提交到在线银行系统,完成转账操作。...CSRF防御措施为了防范CSRF攻击,我们可以采取以下措施:使用CSRF令牌:为每个用户会话生成一个随机的CSRF令牌,并将其存储在用户的cookie中。...在表单中添加一个隐藏的CSRF令牌字段,服务器会验证提交的表单中的令牌是否与cookie中的令牌匹配。验证Referer头:检查HTTP请求的Referer头字段,确保请求来自受信任的来源。...但这种方法并不完全可靠,因为Referer头可以被伪造。双重提交Cookie:在表单中添加一个隐藏的cookie字段,服务器在响应中设置一个特定的cookie值。...当表单提交时,服务器会检查提交的cookie值是否与响应中设置的值一致。结论跨站请求伪造(CSRF)是一种常见的Web攻击方式,可能导致未经授权的操作和数据泄露。

    36910

    【网络安全】「靶场练习」(三)跨站请求伪造攻击 CSRF

    4、防御措施为了防御 CSRF 攻击,可以采取以下策略:使用 CSRF 令牌(token):每次表单提交或敏感请求中,附加一个随机生成的 CSRF 令牌,只有当请求携带正确的令牌时才会被认为是合法的。...令牌应与用户的会话绑定,攻击者无法提前知道或伪造该令牌。...双重提交 cookie:将 CSRF 令牌存储在 cookie 中,并在请求中同时提交该令牌。服务器会验证请求中的令牌是否与 cookie 中的值匹配。...在 POST 请求中,攻击者无法像 GET 请求那样简单地在 URL 中附加参数发起请求,但依然可以通过构造一个恶意网页,将伪造的 POST 请求隐藏在网页的表单中,然后引诱用户进行交互来完成攻击。...这就是防范 CSRF 攻击常用的解决方案:**在每次请求中添加一个随机生成的安全令牌 Token**。这个 Token 是唯一的,每次请求时都会变化。

    16710

    Axios曝高危漏洞,私人信息还安全吗?

    然而,近期在安全社区中,Axios被报告存在一个重要漏洞,该漏洞涉及其对跨站请求伪造(CSRF)保护机制的处理。...描述 在 Axios 1.5.1中发现的一个问题无意中泄露了存储在cookie中的机密 XSRF-TOKEN,方法是将其包含在向任何主机发出的每个请求的 HTTP 标头 X-XSRF-TOKEN 中,从而允许攻击者查看敏感信息...该令牌通常在用户打开表单时由服务器生成,并作为表单数据的一部分发送回服务器。服务器将验证提交的表单中的XSRF-TOKEN是否与用户的会话中存储的令牌相匹配,以确认请求是合法的。.../Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html 为了保护应用程序不受CSRF攻击,你应该: 为所有敏感操作使用CSRF令牌。...确认在使用Axios实例发送请求时,"XSRF-TOKEN" cookie的值会泄露给任何第三方主机。这对于安全至关重要,因为你不希望将CSRF令牌泄漏给未授权的实体。

    2.3K20

    【网络安全】「靶场练习」(三)跨站请求伪造攻击 CSRF

    4、防御措施 为了防御 CSRF 攻击,可以采取以下策略: 使用 CSRF 令牌(token): 每次表单提交或敏感请求中,附加一个随机生成的 CSRF 令牌,只有当请求携带正确的令牌时才会被认为是合法的...令牌应与用户的会话绑定,攻击者无法提前知道或伪造该令牌。...双重提交 cookie: 将 CSRF 令牌存储在 cookie 中,并在请求中同时提交该令牌。服务器会验证请求中的令牌是否与 cookie 中的值匹配。...在 POST 请求中,攻击者无法像 GET 请求那样简单地在 URL 中附加参数发起请求,但依然可以通过构造一个恶意网页,将伪造的 POST 请求隐藏在网页的表单中,然后引诱用户进行交互来完成攻击。...这就是防范 CSRF 攻击常用的解决方案:在每次请求中添加一个随机生成的安全令牌 Token。这个 Token 是唯一的,每次请求时都会变化。

    17710

    CVE-2021-27927: Zabbix-CSRF-to-RCE

    这些令牌是随机生成的数据,作为请求的一部分从应用程序的前端代码发送到后端。后端同时验证反CSRF令牌和用户的会话Cookie。令牌可以作为HTTP标头或在请求正文中传输,但不能作为Cookie传输。...如果正确实施,此方法将击败CSRF攻击,因为攻击者很难制作包含正确的反CSRF令牌的伪造请求。 Zabbix使用sid在请求正文中传递的参数形式的反CSRF令牌。...Same-Sitecookie属性是另一种可以抵御CSRF攻击的措施。浏览器使用此设置来确定何时可以将Cookie作为跨站点请求的一部分传输到站点。...此时,攻击者可以使用自己的管理员用户凭据登录。顺带一提,受害人Zabbix Admin的会话在退出之前仍然保持有效。 此特定CSRF攻击的一个有趣方面是它不是盲目的。...这是因为Zabbix使用测试用户和密码来验证LDAP服务器连接,这是处理身份验证设置表单提交的一部分。攻击者可以通过Zabbix应用程序连接到他/她自己的LDAP服务器来立即知道CSRF攻击是否成功。

    1.8K30

    XSS 和 CSRF 攻击

    2.验证码 另外一个解决这类问题的思路则是在用户提交的每一个表单中使用一个随机验证码,让用户在文本框中填写图片上的随机字符串,并且在提交表单后对其进行检测。...3.token 1)在请求地址中添加token并验证 CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有的用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的...> 在这个函数中我们调用gen_token()函数,并且使用返回的令牌将其值复制到一个新的$_SESSION变量。 现在让我们来看启动完整机制中为我们的表单生成隐藏输入域的函数: 我们可以看到,这个函数调用了gen_stoken()函数并且生成在WEB表单中包含隐藏域的HTML代码。 接下来让我们来看实现对隐藏域中提交的Session令牌的检测的函数: 在每次检测步骤结束后,令牌都会被销毁,并且仅仅在下一次表单页面时才会重新生成。 这些函数的使用方法非常简单,我们只需要加入一些PHP代码结构。 下面是Web表单: <?

    1.1K10

    ASP.NET Core XSRFCSRF攻击

    /> 注意,表单的提交是向受信任的站点提交,而不是向恶意站点提交,这是 XSRF/CSRF中所描述的 "跨站" (4) 用户选择提交按钮,浏览器发起请求并自动包含请求域的身份验证cookie...2 阻止XSRF/CSRF Asp.Net Core 中使用Antiforgery中间件来防御XSRF/CSRF攻击,当我们在启动项中调用如下API时会自动将该中间件添加到应用程序 AddControllersWithViews...攻击最常见的方法是使用同步令牌模式(Synchronizer Token Pattern,STP),STP 在用户请求携带表单数据的页面时被使用: (1) 服务器将与当前用户身份关联的令牌发送给客户端...防伪造系统用于在视图中呈现防伪造令牌的隐藏表单域的名称 options.FormFieldName = "AntiforgeryFieldname"; //防伪造系统使用的标头的名称。...return RedirectToAction(); } 也可以使用AutoValidateAntiforgeryToken,该特性不会验证下列请求 GET,HEAD,OPTIONS,TRACE,它可以在应用程序中作为全局过滤器来触发防伪

    22410

    谈谈Django的CSRF插件的漏洞

    在书写极乐口测试代码过程中,我遇到的最大的困难就是如何通过测试程序绕过Django的防止CSRF攻击的插件,通过近一个多月的努力我终于解决了这个问题,但是同时也揭露了Django框架的防止CSRF攻击的插件的漏洞...Django利用了一个名为django.middleware.csrf.CsrfViewMiddleware的中间件(可以在Django的settings.py中设置)利用CSRF令牌的方式来控制。...具体方式生成一个一百个字符的随机字符串作为CSRF令牌,在login表单中产生一个名为csrfmiddlewaretoken的hidden表单,把这个CSRF令牌的值放入这个字段中,然后在提交这个表单的时候产生一个名为...3.3通过JMeter破解 在JMeter也可以破解,如下图: ? 通过正则表达式提取器获取login.html中的hidden值。 ? 把获得的值放入名为csrftoken的cookie中 ?...3.4通过LoadRunne破解 在LoadRunner中,录制完毕,脚本就直接把csrfmiddlewaretoken表单参数作为名为csrftoken的cookie传给后台,不用做任何代码修改。

    1.2K10

    深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计

    后台统一权限控制可以通过中间件或拦截器来验证用户的认证信息和权限,确保用户只能访问其被授权的资源。Cookie和Session有什么区别?如果没有Cookie,Session还能进行身份验证吗?...Session共享:使用第三方工具(如Redis)将会话信息存储在共享的缓存中,每个服务器都可以访问和更新该缓存,以实现会话信息在集群中的共享和同步。什么是CSRF攻击?如何防止?...,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。...使用CSRF令牌(Token):在每个表单或敏感操作的请求中,包含一个随机生成的CSRF令牌。服务器在接收到请求时,验证令牌的有效性,确保请求是合法的。...此外,为了防止CSRF攻击,我们可以采取一些措施,如使用CSRF令牌和验证请求来源。最后,设计开放授权平台时,需要考虑安全性、灵活性和易用性等因素。

    1.6K40

    一文搞懂Cookie、Session、Token、Jwt以及实战

    它们通常存储在服务器端,并且与唯一的会话标识符(通常是会话ID)相关联,会话ID作为Cookie发送给客户端。会话允许服务器在用户访问期间记住有关用户的信息。例如: 用户在电子商务网站上购物。...随着用户在网站上导航,Cookie中的会话ID允许服务器访问用户会话数据,使用户能够无缝购物体验。...之后我推荐一下在实战中的一些我认为的最佳实战(不代表为最好,在我这里为最好的,如果有错误也欢迎各位来评论区讨论)首先,你需要添加Spring Security和JWT的依赖项到你的pom.xml文件中:...在Spring Security中防止CSRF:确保所有敏感操作都通过POST请求执行,而不是GET。使用Spring Security的@csrfProtection注解来启用CSRF保护。...在表单提交时使用_csrf令牌。

    1.4K20

    owasp web应用安全测试清单

    (例如,移动站点、作为搜索引擎爬虫的访问) 执行Web应用程序指纹 识别使用的技术识别用户角色 确定应用程序入口点 识别客户端代码 识别多个版本/渠道(例如web、移动web、移动应用程序、web服务)...HTTPS传递 检查仅通过HTTPS传递的会话令牌 检查是否正在使用HTTP严格传输安全性(HSTS) 身份验证: 用户枚举测试 身份验证旁路测试 强力保护试验 测试密码质量规则 测试“remember...(例如,Cookie中的令牌、URL中的令牌) 检查会话令牌的cookie标志(httpOnly和secure) 检查会话cookie作用域(路径和域) 检查会话cookie持续时间(过期和最长期限)...在最长生存期后检查会话终止 检查相对超时后的会话终止 注销后检查会话终止 测试用户是否可以同时拥有多个会话 随机性测试会话cookie 确认在登录、角色更改和注销时发布了新会话令牌 使用共享会话管理跨应用程序测试一致的会话管理...会话困惑测试 CSRF和clickjacking测试 Authorization: 路径遍历测试 绕过授权架构的测试 垂直访问控制问题测试(又称权限提升) 水平访问控制问题测试(在相同权限级别的两个用户之间

    2.4K00

    一文深入了解CSRF漏洞

    Note简单来说就是你点击我构造的恶意链接,我就可以以你的名义去发起一个http请求1.2....因为令牌是唯一且随机,如果每个表格都使用一个唯一的令牌,那么当页面过多时,服务器由于生产令牌而导致的负担也会增加。而使用会话(session)等级的令牌代替的话,服务器的负担将没有那么重。...cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再执行CSRF攻击。...如果Samesite Cookie被设置为Lax,那么其他网站通过页面跳转过来的时候可以使用Cookie,可以保障外域连接打开页面时用户的登录状态。但相应的,其安全性也比较低。图片1.7....个人预防网站如果存在CSRF漏洞,个人一般要如何操作才能防止攻击到自己呢?尽量每次使用隐私浏览器,因为其关闭后会清空所有的cookie不要随便打开链接,一定要打开的情况下,可以使用隐私浏览器

    1.3K10

    漏洞科普:对于XSS和CSRF你究竟了解多少

    使用HTTP头指定类型: 很多时候可以使用HTTP头指定内容的类型,使得输出的内容避免被作为HTML解析。...看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。...上面大概地讲了一下CSRF攻击的思想,下面我将用几个例子详细说说具体的CSRF攻击,这里我以一个银行转账的操作作为例子(仅仅是例子,真实的银行网站没这么傻:>) 示例1: 银行网站A,它以GET请求来完成银行转账的操作...在PHP中,可以使用$_GET和$_POST分别获取GET请求和POST请求的数据。在JAVA中,用于获取请求数据request一样存在不能区分GET请求数据和POST数据的问题。...原则上来说,每个页面的请求令牌都应该放在独立的 Session Key 中。我们在设计服务器端的时候,可以稍加封装,编写一个令牌工具包,将页面的标识作为 Session 中保存令牌的键。

    1.1K90

    PortSwigger之身份验证+CSRF笔记

    在本实验中X-Forwarded-Host标头是受支持的,您可以使用它来将动态生成的重置链接指向任意域。...它使用令牌来尝试防止 CSRF 攻击,但它们没有集成到站点的会话处理系统中。 要解决该实验,请使用您的漏洞利用服务器托管一个 HTML 页面,该页面使用CSRF 攻击来更改查看者的电子邮件地址。...它使用令牌来尝试防止 CSRF 攻击,但它们并没有完全集成到站点的会话处理系统中。...csrfcookie注入进去之后再使用我们的poc就能正常攻击了(csrfcookie和csrf令牌对应就可以验证成功,跟用户cookie无关)。说的很乱,我是懂了。。。...您可以使用以下凭据登录自己的帐户: 解决 1.使用您的浏览器通过 Burp Suite 代理流量,登录您的帐户,提交“更新电子邮件”表单,然后在您的代理历史记录中找到生成的请求。

    3.4K20

    Laravel CSRF 保护

    值得庆幸的是,Laravel 可以轻松保护您的应用程序免受跨站点请求伪造(CSRF)攻击。...最有可能的情况是,此路由希望 email 输入字段包含用户希望开始使用的电子邮件地址。...以上摘自 Laravel 文档;下面自我理解一下: 表单是可以跨域的。 用户打开了浏览器,有两个标签页,一个是您的网站(your-application.com),一个是恶意网站(怎么打开的?...用户登陆了您的网站,浏览器记录了cookie ,每次请求都会自带 cookie;然后恶意网站,有如上代码(js 自动提交 form 表单),虽然恶意网站不知道你的 cookie,但你的浏览器知道啊,所以自动提交表单时会自动携带...不依赖 cookies 做安全验证的话,则不需要预防 CSRF。 CSRF 攻击关键在于 cookie,如果 cookie 里不含登陆令牌,你把登录令牌放到 header 里就没问题。

    1.4K20
    点击加载更多

    扫码

    添加站长 进交流群

    领取专属 10元无门槛券

    手把手带您无忧上云

    扫码加入开发者社群

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

      领券