我非常耐心地学习黑客技术,但是在这一点上我停滞不前,因为我不了解一些事情! 我希望我能得到一些答案...
1。 -当用户使用站点B登录时,站点A向站点B发送请求时,如果不使用CSRF令牌,该请求是否会发生? 如果答案是肯定的,为什么?浏览器如何信任站点A将包含所有cookie的请求发送到站点B! (因为我读到向服务器发送请求时,所有cookie都会随之发送)
2。 是否可以仅将CSRF令牌作为cookie包含在内?
3。我注意到有些网站为了比较它而在CSRF令牌中同时将它作为cookie并包含在标题/正文中,但这根本没有帮助!因为再次会自动发送cookie,所以不需要在其中包含它!