【问题标题】:How is the (X/C)SRF-TOKEN cookie more secure than the JSESSIONID cookie?(X/C)SRF-TOKEN cookie 如何比 JSESSIONID cookie 更安全?
【发布时间】:2017-09-14 13:22:33
【问题描述】:

据说csrf令牌cookie可以防止跨站点攻击,因为它可以更好地保证请求来自我们网站生成的javascript(cf:explanationSpring-boot implementation

此 CSRF cookie 在登录后提供,并链接(哈希链接或类似方式)到 SESSION-ID cookie; 由于(与浏览器不同),来自不同站点的 javascripts 无法从另一个站点读取 cookie 并通过 http 标头将其发送回,如果服务器通过此标头接收此 cookie 的值,则它必须来自某些 javascript我们的网站。

其他资源解释说,为了确保这种机制的安全,仍应使用 https ...

  • 不能通过 javascript 在 http 自定义标头中将 SESSION-ID cookie 发送回,这不是同样安全吗?

【问题讨论】:

  • 无法使用 javascript 访问 httpOnly cookie
  • 是的@andrea 谢谢你,即使你提供的链接中的问题显然与游戏框架有关。我将我的问题更新为与框架无关...
  • 好的,谢谢@andrea 答案是here

标签: javascript security csrf cross-site


【解决方案1】:

感谢@Andreas,答案是here

原因是 OWASP 认为 cookie-to-header 解决方案更容易受到攻击!因此,他们建议不要通过使用额外的 cookie 来保护 SESSIONID cookie 来保护 csrf!

这导致问why are browser providers excusable for allowing cross site cookies ? ;-)

【讨论】:

    猜你喜欢
    • 2016-12-15
    • 2014-06-11
    • 2017-11-24
    • 2019-01-07
    • 2013-01-11
    • 1970-01-01
    • 2010-10-26
    • 1970-01-01
    • 2013-11-01
    相关资源
    最近更新 更多