首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ssshooter
V2EX  ›  问与答

问一个关于 CSRF 的问题

  •  
  •   ssshooter · 76 天前 · 579 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CSRF 指 A 网站正常登陆后,cookie 正常保存,其他网站 B 通过某种方式调用 A 网站接口进行操作

    但是 B 访问 A 的接口不就跨域了吗?怎么进行请求伪造呢?
    6 回复  |  直到 2019-11-07 17:45:52 +08:00
    ysc3839
        1
    ysc3839   76 天前 via Android
    img script
    chenset
        2
    chenset   76 天前
    1. AJAX 是跨域了, 浏览器会禁止.
    2. 如果接口是 GET 请求, 还有会被 B 页面的通过嵌入 a 连接的方式伪造
    ssshooter
        3
    ssshooter   76 天前
    @ysc3839
    @chenset

    那么使用 POST 加跨域限制直接就能解决问题了?
    lxy42
        4
    lxy42   76 天前
    beastk
        5
    beastk   76 天前 via iPhone
    csrf 并没有跨域
    ssshooter
        6
    ssshooter   76 天前
    @lxy42 感谢,之前不知道 form 可以跨域
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   761 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 21:12 · PVG 05:12 · LAX 13:12 · JFK 16:12
    ♥ Do have faith in what you're doing.