请稍等 ...

cookie 中留有 token 的问题

图片描述

Hi,老师

在实际的项目中,除了把 X-XSRF-TOKEN-D 加入 header 中以让后端进行验证,是不是应该把浏览器的自动行为(Cookie中的X-XSRF-
TOKEN-D 字段删掉),否则,攻击者仍然可以从cookie里拿到token,然后添加到header中,冒充用户发送请求?

988

收起

提交取消

1回答

ustbhuangyi 2020-07-23 18:09:50

不会有问题的，因为这个 token 每次访问页面都会重新生成并下发新的，攻击者通过第三方页面攻击，使用的 cookie 中的 token 是旧的。

0 回复有任何疑惑可以回复我~

提问者 paopaomo #1

那如果token不是像我们demo中的方式下发,不是每次访问html的时候下发,而是有一个有效期,比如是两个小时,那么如果在这两个小时期间,第三方拿到了cookie中存储的token,就可以冒充用户发请求了吗?

回复有任何疑惑可以回复我~ 2020-07-23 19:44:35

ustbhuangyi 回复提问者 paopaomo #2
```
那不行，存储就没意义了，token 都是生成页面的时候算的
```
回复有任何疑惑可以回复我~ 2020-07-24 00:46:44
提问者 paopaomo 回复 ustbhuangyi #3
```
好的，明白了，谢谢老师！
```
回复有任何疑惑可以回复我~ 2020-07-25 12:12:26