【发布时间】:2016-07-20 23:55:15
【问题描述】:
在典型的会话骑行场景中,攻击者让受害者机器向他们已经登录的网站发送 HTTP 请求,例如在 CSRF 攻击的情况下欺骗受害者打开链接。浏览器在 HTTP 请求中包含会话 cookie(以及该站点的所有其他 cookie),因此攻击者可以执行任何(可能是恶意的)受害者被授权执行的操作。
HTTPS 对整个数据包进行加密,因此无法读取内容,包括标头和 cookie。但它是否可以防止会话骑乘攻击,还是浏览器仍会包含 cookie 并自动使用正确的加密?
【问题讨论】:
标签: security http session ssl cookies