首頁猿問 CSRF如何發(fā)送跨域的Cookie的？

CSRF如何發(fā)送跨域的Cookie的？

JavaScript

三國紛爭 2019-03-13 22:19:47

Cookie存在同源策略，不同的域名無法訪問。例如，有A，C兩個網(wǎng)站，C網(wǎng)站為惡意網(wǎng)站，C網(wǎng)站是如何獲得A網(wǎng)站的Cookie然后向A網(wǎng)站服務(wù)器發(fā)送請求的？

查看完整描述

1 回答

PIPIONE

TA貢獻1829條經(jīng)驗獲得超9個贊

發(fā)請求自動帶上的
mdn cookie

防止XSRF最好的方式是使用CSRF-token。

cookie一般用于保存信息，你向同一個服務(wù)器發(fā)請求時會帶上瀏覽器保存的對于那個服務(wù)器的cookie，而不管你從哪個網(wǎng)站發(fā)請求。
所以后端需要設(shè)置Access-Control-Allow-Origin,瀏覽器會看你的訪問網(wǎng)站是否是被允許的域，如果允許就發(fā)請求并能獲得數(shù)據(jù)，如果不受允許那么能發(fā)請求但是js腳本無法獲取返回的數(shù)據(jù)（你仍然能在NetWork中看到返回）。

可以看下這篇文章

反對回復(fù) 2019-04-08