这是一个创建于 1467 天前的主题,其中的信息可能已经有所发展或是发生改变。
就是这个例子里面,cute-cat 网站为什么能拿到 mybank 的 Cookies 进行身份认证? Cookies 在每次浏览器发起请求时都会被携带,Cookies 应该会在服务端被用来鉴权(身份认证),cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ,就没办法在 mybank 的服务器进行身份认证啊。那 cute-cat 的在 mybank 的身份认证就过不去,为什么还能攻击成功呢?
想不明白,大佬带带。
 | 1 fe619742721 2022 年 4 月 18 日 “cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ”浏览器发送请求时是否携带 cookie ,取决于请求的域名及路径,而不是当前页面的域名。 当你在 A 页面请求 B 域名路径时,就是一次跨站请求,在较早前的浏览器版本里,跨站请求是可以携带 cookie 的,从而形成 CSRF 攻击 现在的浏览器都开始通过 SameSite 的属性来控制 cookie 发送,默认 SameSite=Lax ,严格禁止跨站请求携带 cookie 。 |
 | 2 lalalaqwer 2022 年 4 月 18 日 cute-cat 并没有拿到 mybank 的 cookie ,cute-cat 只是向 mybank 发送了一个请求而已,这个请求会带上 cookie |
| 3 fe619742721 2022 年 4 月 18 日 fix: 上述现在的浏览器特指 chrome 80 以上版本,经检索 firefox 似乎有其他的同源安全策略 |
 | 4 Aruix OP @fe619742721 所以现在的浏览器,想进行 csrf 攻击是不太有可能的了吗?因为浏览器的 cookie 策略发生了改变。 |
| 5 fe619742721 2022 年 4 月 18 日 @Aruix chrome 的默认行为会避免跨站攻击,理论上不太可能了。但是还是有很多低版本浏览器需要考虑进去,该做的防护还是得做 |
| 6 Aruix OP @fe619742721 感谢回答,我现在完全明白了 |
Select Language