CSRF使用cookie作为身份验证方法

时间:2017-12-01 16:56:18

标签: javascript php security authentication cookies

我没有看到使用Cookie auth的任何错误,限制是针对移动应用,他们不是浏览器,不会将cookie发送回服务器。

我从某个地方接受了这个声明

  

浏览器自动发送cookie也有很大的缺点,   这是CSRF攻击。在CSRF攻击中,恶意网站需要   您的浏览器将自动附加的优点   对该域的请求进行身份验证Cookie并欺骗您的域名   浏览器执行请求。

     

假设https://www.example.com处的网站允许进行身份验证   用户通过POST新密码来更改密码   https://www.example.com/changepassword,无需用户名   或者发布旧密码。

     

如果您在访问恶意邮件时仍然登录该网站   在您的浏览器中加载触发POST的页面的网站   该地址,您的浏览器将忠实地附加身份验证   cookie,允许攻击者更改密码。

这甚至是个问题吗?如果我不做allow_header(*),那么不同的域名根本无法发送任何http请求来进行任何签名,那么为什么人们说基于cookie的auth不受保护?

0 个答案:

没有答案