这是一个创建于 732 天前的主题,其中的信息可能已经有所发展或是发生改变。
就是这个例子里面,cute-cat 网站为什么能拿到 mybank 的 Cookies 进行身份认证? Cookies 在每次浏览器发起请求时都会被携带,Cookies 应该会在服务端被用来鉴权(身份认证),cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ,就没办法在 mybank 的服务器进行身份认证啊。那 cute-cat 的在 mybank 的身份认证就过不去,为什么还能攻击成功呢?
想不明白,大佬带带。
 |
1
fe619742721 2022-04-18 13:01:21 +08:00
“cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ”——浏览器发送请求时是否携带 cookie ,取决于请求的域名及路径,而不是当前页面的域名。
当你在 A 页面请求 B 域名路径时,就是一次跨站请求,在较早前的浏览器版本里,跨站请求是可以携带 cookie 的,从而形成 CSRF 攻击 现在的浏览器都开始通过 SameSite 的属性来控制 cookie 发送,默认 SameSite=Lax ,严格禁止跨站请求携带 cookie 。 |
 |
2
lalalaqwer 2022-04-18 13:01:44 +08:00
cute-cat 并没有拿到 mybank 的 cookie ,cute-cat 只是向 mybank 发送了一个请求而已,这个请求会带上 cookie
|
|
3
fe619742721 2022-04-18 13:02:36 +08:00
fix: 上述现在的浏览器特指 chrome 80 以上版本,经检索 firefox 似乎有其他的同源安全策略
|
 |
4
Aruix OP @fe619742721 所以现在的浏览器,想进行 csrf 攻击是不太有可能的了吗?因为浏览器的 cookie 策略发生了改变。
|
|
5
fe619742721 2022-04-18 13:29:22 +08:00
@Aruix chrome 的默认行为会避免跨站攻击,理论上不太可能了。但是还是有很多低版本浏览器需要考虑进去,该做的防护还是得做
|
|
6
Aruix OP @fe619742721 感谢回答,我现在完全明白了
|
Select Language