【问题标题】:Confused with Same Origin Policy of Browsers对浏览器的同源策略感到困惑
【发布时间】:2018-07-12 17:44:13
【问题描述】:

我们知道,浏览器的同源策略禁止async 请求外源。此策略的目的是防止CSRF 攻击。

但是我们仍然可以同步请求到国外,浏览器会接受目标网站的cookie,然后CSRF再次发生。 经验。我们可以在黑客的网站中添加一个隐藏的表单,并自动将请求提交到目标网站。

那么这个政策有必要吗?

【问题讨论】:

  • "但是我们仍然可以同步请求到外部源" 真的可以吗?
  • @Teemu 。经验。我们可以在黑客的网站中添加一个隐藏表单,并自动将请求提交到目标网站。
  • 不知道我是否理解了这个问题......如果我们可以在黑客的网站中添加一个隐藏表单,那意味着我们是黑客......?
  • @Teemu 黑客可以这样做来攻击目标网站
  • 请注意,同源策略不会阻止 ajax 请求中的 CSRF。只有响应不会返回给攻击者,但在这些情况下,攻击者并不关心,请求会在受害者服务器上发出和处理。

标签: javascript security web cookies csrf


【解决方案1】:

要关闭 CSRF 攻击,通常使用之后会检查的令牌。因此,具有隐藏形式的攻击站点不知道令牌,因为它被放入了外国网站的代码中。同源策略将阻止读取外部站点的页面,因此您永远不会通过异步调用获得令牌

https://en.wikipedia.org/wiki/Cross-site_request_forgery

【讨论】:

    猜你喜欢
    • 2019-05-09
    • 1970-01-01
    • 2011-06-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-05-18
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多