首頁猿問為什么token不能在未知的情況下...

為什么token不能在未知的情況下在偽造請求中發(fā)送，發(fā)送請求時不是都是瀏覽器提供嗎？

JavaScript

夢里花落0921 2018-08-18 11:34:56

csrf中偽造的請求可以在不得到cookie的情況下在請求頭中帶上cookie，為什么token不能在未知的情況下在偽造請求中發(fā)送，發(fā)送請求時不是都是瀏覽器提供嗎？

查看完整描述

2 回答

料青山看我應(yīng)如是

TA貢獻1772條經(jīng)驗獲得超8個贊

這么來說吧，Cookies是瀏覽器自動添加的。這是CSRF攻擊的原理。

但是token是無法由瀏覽器添加的，無法被跨站得到的，這是CSRF的前提，CSRF中的CS就是Cross Site，跨站。
token存在的意義就是，獲取token時，將token放在跨站無法得到的數(shù)據(jù)之中，而驗證token時，token必須出現(xiàn)在指定位置。

所以token在驗證時就肯定不存在cookies之中，也就不會被瀏覽器自動帶上

1 反對回復(fù) 2018-08-19

慕沐林林

TA貢獻2016條經(jīng)驗獲得超9個贊

CSRF的請求是在另外一個域中發(fā)出的，自然無法訪問正確域的cookie

反對回復(fù) 2018-08-19

關(guān)注

舉報

0/150

提交

取消

購課補貼
聯(lián)系客服咨詢優(yōu)惠詳情

慕課網(wǎng)APP
您的移動學(xué)習(xí)伙伴

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號