首先csrf攻击者并不能获取用户的cookie,而是利用用户cookie访问目标网站。指直接利用cookie。
服务端生成token后,可以通过2种方法传给前端
1.通过cookie传给前端或者
通过cookie传给前端,攻击者只能冒用真实用户,而不能拿到cookie,因此token是安全的,
2.通过表单的隐藏字段传给前端
通过表单的隐藏字段传给前端,攻击者下载页面得到的是攻击者的token,在被攻击者那边无效,因此token也是安全的
微信扫一扫
服务端生成token后,可以通过2种方法传给前端
1.通过cookie传给前端或者
通过cookie传给前端,攻击者只能冒用真实用户,而不能拿到cookie,因此token是安全的,
2.通过表单的隐藏字段传给前端
通过表单的隐藏字段传给前端,攻击者下载页面得到的是攻击者的token,在被攻击者那边无效,因此token也是安全的
相关推荐