首页
注册
登录
moon548834 最近的时间轴更新
moon548834
V2EX 第 649644 号会员,加入于 2023-09-21 15:03:57 +08:00
moon548834
提问
技术话题
好玩
工作信息
交易信息
城市相关
moon548834 最近回复了
67 天前
回复了
NoKey
创建的主题
›
程序员
›
token 如何存放才能避免 csrf 攻击
@
NoKey
应该是吧,总之我还是认为把 token 放 header 里是最佳实践
71 天前
回复了
NoKey
创建的主题
›
程序员
›
token 如何存放才能避免 csrf 攻击
"在你例子中,用户从钓鱼网站 B 触发的网站 C 的请求,携带了 Cookie 到目标服务器,但是服务器是不会认可`此次请求已被授权的`,因为不是从网站 C 页面上发起的"
这个你说的是同源检查吧,如果 C 不做同源检查,那应该是认可的..
ref:
https://tech.meituan.com/2018/10/11/fe-security-csrf.html
73 天前
回复了
NoKey
创建的主题
›
程序员
›
token 如何存放才能避免 csrf 攻击
@
Belmode
请教下为什么 token 放 cookie 里可以呢?我理解 header 是 ok 的
用户 A 请求正常网站 C ,假设用户点了某个钓鱼网站 B ,那么 B->C 的过程不是会把 cookie 信息自动带上吗?
或者说一个普通的 access_token 放到 cookie 面临的问题不能被一个也在 cookie 中的 csrf token 解决?
»
moon548834 创建的更多回复
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
2030 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 12ms ·
UTC 15:25
·
PVG 23:25
·
LAX 08:25
·
JFK 11:25
Developed with
CodeLauncher
♥ Do have faith in what you're doing.