我们说我在浏览器中设置了一个特定于域的cookie,如下所示:
document.cookie="foo=bar;domain=.baz.com"
这个cookie是否容易受到CSRF的影响?我还没有找到这个问题的明确答案。我们目前使用JWT设置了一个身份验证系统,并且我试图弄清楚如何跨域扩展这些会话。
答案 0 :(得分:3)
是
CSRF攻击会导致受害者在已经过身份验证的网站上执行意外操作。它的工作原理是欺骗用户提交表单(或类似的操作)。提交的来源可以托管在任何域上,但目标是他们登录的站点。由于Cookie是由原始网站设置的,因此会与意外操作一起发送。
所有Cookie都有域名。如果您作为开发人员没有设置它们,浏览器会使用当前主机名作为域。域专门设置为匹配更多主机的事实只会使潜在的目标站点更大。