本页描述了解释CSRF攻击的用例(16.1):
https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html
但是如果用户确实登录了银行的网站,那么恶魔网站是否可能发出GET请求以获得新的CSRF令牌,并且在不需要用户的情况下制作POST?
答案必须是否定,否则CSRF令牌将毫无用处,但我不明白为什么?
答案 0 :(得分:2)
答案是" no"原因是同源政策。
SOP表示来自evil.com的网页无法读取对可能发送给example.com的请求的任何响应。发送请求的最直接方式将被浏览器(SOP)阻止,但有许多解决方法。例如,evil.com可以发送
<img>,<script>,<css>并设置src="http://example.com/path"(或<a href="http://example.com/path">)来获取请求。由于evil.com无法读取任何响应,因此无法读取CSRF令牌。