CSRF攻击为何可以实施?
其根本原因是从站点B.com向站点A.com发起请求,会把A.com的cookie一同发送过去。这是由于多标签浏览器(chrome,firefox等)共享一个进程造成的。
但是要注意一点,即虽然可以一同把A.com的cookie随请求发送,但并不能在B.com通过javascript获取和操作A.com下的cookie。
防范措施无非是增加一次除了cookie之外的验证。
CSRF攻击为何可以实施?
其根本原因是从站点B.com向站点A.com发起请求,会把A.com的cookie一同发送过去。这是由于多标签浏览器(chrome,firefox等)共享一个进程造成的。
但是要注意一点,即虽然可以一同把A.com的cookie随请求发送,但并不能在B.com通过javascript获取和操作A.com下的cookie。
防范措施无非是增加一次除了cookie之外的验证。