请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

B网站如何获取的A网站的cookies?? xss 吗?
qq_随遇而安_1 2018-07-05 10:42:52
源自:4-2  CSRF攻击原理和危害
1070
收起

正在回答 回答被采纳积分+3

1回答

TooooBug 2018-07-24 16:16:32

B网站获取不到A网站的Cookie的。但是从B网站向A网站发起的请求会带上A网站的Cookie。这个过程中B网站是全程不知道你的Cookie是什么的,但是你向A网站做的请求却都是合法的。这是CSRF攻击的本质原理。

0 回复 有任何疑惑可以回复我~
收起回答
  • chanchan666 #1 
    “B网站向A网站发起的请求会带上A网站的Cookie”,这个是浏览器的特点嘛?那有没有不会带上cookie的场景呀?
    回复 有任何疑惑可以回复我~ 2020-06-18 10:46:15
  • TooooBug 回复 chanchan666 #2 
    访问某个网站时,带上这个网站的cookie,这就是浏览器使用cookie的方式。这个例子中,访问A网站,带上A网站的cookie。这个没毛病。

但因为这样会导致CSRF,所以现代浏览器正在实现一个新的cookie属性叫same-site,设置完之后,它会屏蔽一些场景下的cookie。课程中应该有说这个的。
    回复 有任何疑惑可以回复我~ 2020-08-12 09:59:09
取消 回复

相似问题

基于CrawlSpider,同一份代码爬多个数据,果限制不爬外链数据
1146 0 5
csrf第一步要cookies也就是说要先通过xss注入脚本??果注入成功那么表单上cookies不也能??
620 3 2
b怎么带上acookie
803 0 1
fastmock.site发送mock请求时 为什么没有跨域问题 是处理了么
820 1 3
换个其他,发现现在好多都是 手机验证码,那怎么能拿到手机正确验证码呢
673 0 4

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
腾讯大牛亲授 Web前后端漏洞分析与防御技巧
  • 参与学习       1182    人
  • 解答问题       111    个

提高每一行代码安全系数,突破前后端开发Web安全弱项

了解课程

本课精华内容

问答

这算是跑起来了吗,怎么感觉怪怪的

445 5

jspm install 报错

1.1k 5

login路由Not Found 插入评论插不进去报错,

1.0k 5

SwitchyOmega设置不对localhost生效

1.9k 4

登录页面报错 找不到static/jspm_packages 里面 system.js 文件

1.0k 4

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信