【问题标题】:Does HTTPS protect from session riding?HTTPS 是否可以防止会话骑行?
【发布时间】:2016-07-20 23:55:15
【问题描述】:

在典型的会话骑行场景中,攻击者让受害者机器向他们已经登录的网站发送 HTTP 请求,例如在 CSRF 攻击的情况下欺骗受害者打开链接。浏览器在 HTTP 请求中包含会话 cookie(以及该站点的所有其他 cookie),因此攻击者可以执行任何(可能是恶意的)受害者被授权执行的操作。

HTTPS 对整个数据包进行加密,因此无法读取内容,包括标头和 cookie。但它是否可以防止会话骑乘攻击,还是浏览器仍会包含 cookie 并自动使用正确的加密?

【问题讨论】:

    标签: security http session ssl cookies


    【解决方案1】:

    浏览器是否仍会包含 cookie 并自动使用正确的加密?

    Yes。 CSRF 攻击之所以有效,是因为浏览器会像对待用户通常想要发出的任何其他请求一样对待请求。 HTTP 和 HTTPS 请求都像往常一样与所有 cookie 数据一起发送。这就是为什么由应用程序的服务器端来补偿令牌的原因。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-09-25
      • 2014-06-12
      • 2017-12-22
      • 1970-01-01
      • 2011-05-31
      • 1970-01-01
      • 1970-01-01
      • 2011-11-13
      相关资源
      最近更新 更多