0
点赞
收藏
分享

微信扫一扫

CSRF中为什么攻击方无法获取到token

余寿 2022-02-23 阅读 58
csrf

首先csrf攻击者并不能获取用户的cookie,而是利用用户cookie访问目标网站。指直接利用cookie。

服务端生成token后,可以通过2种方法传给前端
1.通过cookie传给前端或者
通过cookie传给前端,攻击者只能冒用真实用户,而不能拿到cookie,因此token是安全的,
2.通过表单的隐藏字段传给前端
通过表单的隐藏字段传给前端,攻击者下载页面得到的是攻击者的token,在被攻击者那边无效,因此token也是安全的

防御机制在这里插入图片描述

举报

相关推荐

CSRF Token为什么写在Cookie中?CSRF漏洞分析

csrf前端

为什么token能防范CSRF攻击、cookie是同源的

前端

WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSDF攻击?

web安全csrf安全

什么是CSRF攻击,如何防范CSRF攻击?

javascript前端web安全csrf

curl命令获取Jenkins CSRF token

jenkinscsrfcrumb tokencsrf tokenxml编程语言

为什么登录后,获取cookie只能获取到自己的

同源策略服务器端子域名Java后端开发yyds干货盘点

什么是 CSRF 攻击?如何避免?

HTTP身份认证字段Java后端开发yyds干货盘点

CSRF 攻击是什么?如何防范?

GolangLeetcode题解

AopContext.currentProxy();为什么能获取到代理对象

动态代理代理类jdk动态代理Python后端开发

spring-security 如何获取csrf-token

csrfspringboot
0 条评论