没有SameSite属性的Cookie

时间:2019-12-28 10:31:48

标签: security web

当我使用ZAP扫描特定的Web应用程序时,它显示提到该站点具有“没有SameSite属性的Cookie”,我读到我们可以对此漏洞进行CSRF攻击。谁能告诉我该怎么做?。

1 个答案:

答案 0 :(得分:0)

CSRF攻击是通过向受害者提供带有隐藏参数的链接,并希望他在浏览器中同时针对目标网页仍处于活动会话的同时激活该链接来实现的。 它可能导致用户不想要的动作。

使用sameSite标志的cookie可以减少这种风险,因为浏览器仅在给出特定条件时才发送。

请参见Portswigger Academy

上的简单示例

请注意,CSRF攻击是非法的。如果您只想了解该主题,则必须使用自己的网页和Cookie进行尝试。