标签: security csrf server-side-attacks
我最近阅读了有关CRSF攻击的信息。现在,我担心令牌是否真的可以阻止此类攻击。
因为在攻击者的网站上可以运行ajax之类的javascript,它将javascript的目标网站复制到攻击者的网站上并在发送请求之前读取令牌。
我想这是否有可能,我不是第一个提出这个想法的人,因此这些令牌不会被认为是安全的。
但是,为什么这不起作用?是什么阻碍了该策略的成功?