我没有看到使用Cookie auth的任何错误,限制是针对移动应用,他们不是浏览器,不会将cookie发送回服务器。
我从某个地方接受了这个声明
浏览器自动发送cookie也有很大的缺点, 这是CSRF攻击。在CSRF攻击中,恶意网站需要 您的浏览器将自动附加的优点 对该域的请求进行身份验证Cookie并欺骗您的域名 浏览器执行请求。
假设https://www.example.com处的网站允许进行身份验证 用户通过POST新密码来更改密码 https://www.example.com/changepassword,无需用户名 或者发布旧密码。
如果您在访问恶意邮件时仍然登录该网站 在您的浏览器中加载触发POST的页面的网站 该地址,您的浏览器将忠实地附加身份验证 cookie,允许攻击者更改密码。
这甚至是个问题吗?如果我不做allow_header(*),那么不同的域名根本无法发送任何http请求来进行任何签名,那么为什么人们说基于cookie的auth不受保护?