在典型的会话骑行场景中,攻击者使受害者机器向他们已经登录的网站发送HTTP请求,例如在CSRF攻击的情况下欺骗受害者打开链接。浏览器在HTTP请求中包含会话cookie(以及该站点的所有其他cookie),因此攻击者可以执行任何 - 可能是恶意的 - 操作受害者有权执行。
HTTPS会对整个数据包进行加密,从而无法读取内容,包括标头和Cookie。但它是否可以防止会话骑行攻击,或者浏览器是否仍然包含cookie并自动使用正确的加密?
答案 0 :(得分:0)
浏览器是否仍然包含cookie并自动使用正确的加密?
Yes。 CSRF攻击有效,因为浏览器会像处理用户通常想要的那样处理请求。 HTTP和HTTPS请求都像往常一样发送所有cookie数据。这就是应用程序服务器端补偿令牌的原因。