0
点赞
收藏
分享

微信扫一扫

CSRF中为什么攻击方无法获取到token

余寿 2022-02-23 阅读 58
csrf

首先csrf攻击者并不能获取用户的cookie,而是利用用户cookie访问目标网站。指直接利用cookie。

服务端生成token后,可以通过2种方法传给前端
1.通过cookie传给前端或者
通过cookie传给前端,攻击者只能冒用真实用户,而不能拿到cookie,因此token是安全的,
2.通过表单的隐藏字段传给前端
通过表单的隐藏字段传给前端,攻击者下载页面得到的是攻击者的token,在被攻击者那边无效,因此token也是安全的

防御机制在这里插入图片描述

举报

相关推荐

0 条评论