采纳答案成功!
向帮助你的同学说点啥吧!感谢那些助人为乐的人
B网站获取不到A网站的Cookie的。但是从B网站向A网站发起的请求会带上A网站的Cookie。这个过程中B网站是全程不知道你的Cookie是什么的,但是你向A网站做的请求却都是合法的。这是CSRF攻击的本质原理。
“B网站向A网站发起的请求会带上A网站的Cookie”,这个是浏览器的特点嘛?那有没有不会带上cookie的场景呀?
访问某个网站时,带上这个网站的cookie,这就是浏览器使用cookie的方式。这个例子中,访问A网站,带上A网站的cookie。这个没毛病。 但因为这样会导致CSRF,所以现代浏览器正在实现一个新的cookie属性叫same-site,设置完之后,它会屏蔽一些场景下的cookie。课程中应该有说这个的。
登录后可查看更多问答,登录/注册
提高每一行代码安全系数,突破前后端开发Web安全弱项
466 5
1.2k 5
1.0k 5
2.0k 4
1.1k 4