我正在通过openid connect document ATM阅读,并说:
将ID令牌放入浏览器cookie中可用于实现轻量级无状态会话。
IIUC我们希望避免使用cookie以确保避免CSRF攻击,因为浏览器将发送包含所有请求的cookie,并且如果用户使用URL加载图像(登录到notsosecurebank.com): / p>
href="http://notsosecurebank.com/transfer.do?acct=AttackerA&amount;=$100">Read more!
浏览器将发送访问令牌(因为它是一个cookie),这允许攻击发生。
如果令牌是存储在会话或本地存储中并且仅通过REST / XHR请求发送,那么CSRF无法发生?我理解正确吗?