请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

token问题

老师 要是设置了 withCredentials: true。然后我们在A网站登录了返回一个token种在cooike里,然后在token没失效的情况下打开第三方网站b,他通过接口去请求A网站的数据,cooike里的token不是也会自动带上吗。只是最后没有把token加到header上
慕粉1470117225 2020-07-12 16:31:57
源自:11-3  xsrf 防御 - 需求分析
718
收起

正在回答 回答被采纳积分+3

1回答

ustbhuangyi 2020-07-12 18:24:03

b 请求 A 的接口并且设置了 withCredentials 为 true 的话,是可以携带 A 的 cookie 的。

0 回复 有任何疑惑可以回复我~
收起回答
  • paopaomo #1 
    B 可以拿到 A 生成的token,就可以假装用户去请求接口了,这样是不是就会有风险了?
    回复 有任何疑惑可以回复我~ 2020-07-20 20:53:43
  • ustbhuangyi 回复 paopaomo #2 
    是的,这就是一个 CSRF 攻击,所以 A 站点在访问的时候需要下动态发一个 CSRF token,然后请求的时候服务端会验证这个 CSRF token,这样 B 站点请求 A 是拿不到 CSRF token 的,请求无效。
    回复 有任何疑惑可以回复我~ 2020-07-21 09:48:44
  • paopaomo 回复 ustbhuangyi #3 
    好的,谢谢老师!
    回复 有任何疑惑可以回复我~ 2020-07-22 20:02:37
点开查看后面2条评论
取消 回复

相似问题

cookie 中留有 token
942 0 4
token过期后续签
1073 2 3
关于首次登录token验证
1427 1 5
使用token上传模型出错
454 0 6
token
1014 0 3

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
下一代前端开发语言 TypeScript从零重构axios
  • 参与学习       2621    人
  • 提交作业       108    份
  • 解答问题       875    个

课程从零开始重构功能完整的JS库,是学习造轮子的不二之选!

了解课程

本课精华内容

问答 作业

CancelToken中定义的resolvePromise报类型不匹配

1.3k 14

post请求的请求body是个对象,但是content-type没有以application/json的形式请求,

1.6k 13

老师,我这个跨域的请求没有带上cookie是咋回事

1.4k 13

这里没有走网络错误的逻辑,好奇怪

1.0k 13

Error default.request is not a function

1.4k 11

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信