cookie不能防止csrf,而token能防止csrf终于说透了

知识浅谈 🐄🐄🐄🐄🐄大佬
后端领域优质创作者
博客专家认证
2022-07-11 14:37:11
加精

A:恶意网站   B:存在CSRF的银行网站

cookie:用户点击链接,浏览器会自动带上cookie,拿转账举例:导致用户点击了恶意网站A的超链接B的形式的转账请求,导致不安全,就叫csrf。

token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作。

其实我们也想过cookie和token不都在请求头上吗,就算点击恶意网站A的超级链接B不也能获取token,最重要的一点我们忽略了,token不像是cookie自动附加到请求头中的,token需要我们手动设置到请求头中,不设置是没有的,我们点击第三方恶意网站A浏览器访问的第三方网址,虽然是超链接B又跳转到存在csrf的B网站了,但是,是没有设置token的,所以不会有csrf,如有不足,请指正。

 

 

...全文
1915 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
Kamuili 4天前
  • 打赏
  • 举报
回复 1

是啊,我也是这么想的,但是看了网上的解释好麻烦,我觉得这个挺对的

知识浅谈 🐄🐄🐄🐄🐄大佬 4天前
  • 举报
回复
@Kamuili 能自己理解就好
土木的跨考生 2023-10-28
  • 打赏
  • 举报
回复

尊嘟假嘟

知识浅谈 🐄🐄🐄🐄🐄大佬 4天前
  • 举报
回复
@土木的跨考生 尊渡
CSDN-Ada助手 2023-01-13
  • 打赏
  • 举报
回复
您可以前往 CSDN问答-网络空间安全 发布问题, 以便更快地解决您的疑问

9,609

社区成员

发帖
与我相关
我的任务
社区描述
知识浅谈(带你学后端)社区,旨在为学习后端的小伙伴提供技术内容共享学习平台,助力每位小伙伴写出高质量代码,欢迎各位小伙伴的加入。
java爬虫后端 个人社区 吉林省·长春市
社区管理员
  • 知识浅谈
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

【社区倡导与禁止】

  • 社区倡导积极发帖,互相交流技术问题,学习心得。
  • 社区不限制技术领域,后端内容增加加精权重
  • 社区禁止发布低俗、不健康的内容

【社区积分规则】

  • 在社区「发帖」得10积分
  • 内容被管理员「加精」得10积分
  • 点赞他人内容得1积分
  • 评论内容得2积分

试试用AI创作助手写篇文章吧