【发布时间】:2017-09-14 13:22:33
【问题描述】:
据说csrf令牌cookie可以防止跨站点攻击,因为它可以更好地保证请求来自我们网站生成的javascript(cf:explanation,Spring-boot implementation)
此 CSRF cookie 在登录后提供,并链接(哈希链接或类似方式)到 SESSION-ID cookie; 由于(与浏览器不同),来自不同站点的 javascripts 无法从另一个站点读取 cookie 并通过 http 标头将其发送回,如果服务器通过此标头接收此 cookie 的值,则它必须来自某些 javascript我们的网站。
其他资源解释说,为了确保这种机制的安全,仍应使用 https ...
- 不能通过 javascript 在 http 自定义标头中将 SESSION-ID cookie 发送回,这不是同样安全吗?
【问题讨论】:
-
无法使用 javascript 访问 httpOnly cookie
-
是的@andrea 谢谢你,即使你提供的链接中的问题显然与游戏框架有关。我将我的问题更新为与框架无关...
-
好的,谢谢@andrea 答案是here
标签: javascript security csrf cross-site