据说csrf令牌cookie可防止跨站点攻击,因为它可以更好地保证请求来自我们网站生成的javascript(cf:explanation,Spring-boot implementation)
此CSRF cookie在登录后提供,并链接(散列链接或类似)到SESSION-ID cookie; 由于(与浏览器不同),来自不同站点的javascripts无法从另一个站点读取cookie并通过http头发回,如果服务器通过此头接收到此cookie的值,则必须来自某些我们网站的javascript。
其他资源解释说,https仍然应该用于此机制的安全......
答案 0 :(得分:0)
感谢@Andreas,答案有效here:
原因是OWASP正在考虑使用cookie-to-header解决方案更容易受到攻击!因此,他们建议不要使用额外的cookie来保护SESSIONID cookie,以保护csrf!
这导致问why are browser providers excusable for allowing cross site cookies ? ;-)