我一直在考虑Same Origin Policy和CSRF,并且无法回答自己为什么网络浏览器开发人员不使用更简单的解决方案。
为什么它们不允许任何访问任何网站,而是使用空的cookie jar,而不是禁止跨域脚本? (或者更确切地说,只包含当前域的cookie的cookie罐)
关于任何标签(img,脚本等)的相同内容
如果任何访问没有cookie,可以做什么CSRF?
答案 0 :(得分:1)
关于只有当前域的cookie的cookie jar:当前域的cookie可能包含例如会话信息。然后可以通过线路发送此信息并导致会话劫持(例如)。
即使脚本没有cookie信息,网站上也可能存在其他敏感信息,可能通过DOM可见。然后可以跨域上传此信息。
作为一方,我不认为相同的原始政策实际上可以阻止恶意黑客。正如你所说,img和脚本可以提出请求。我可以运行一个返回404的服务器,但保留GET请求的日志(例如:maliciouswebsitehere.com/fake404.html?bankaccountnumber=34398439843983&otherinformation=blah)