我可以使用会话cookie代替csrf吗？

I have been reading about csrf and fiddliN around with implementing it using go and gorilla toolkit. I am also using gorilla sessions which i have implemented to store a user id in an encrypted cookie.

the cookie is decrypted and i fetch the user from the db with the now unencrypted key-value store using a middleware I wrote...

if the user is creating the session cookie from authentication through an oauth2 provider, do i have any need to implement csrf protection if all the views that need such protection are only allowed to authed users anyway?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
doujuan9698 2017-03-15 05:48
关注
Suppose a user has logged into your site, and has continued to browse the Internet in the same session. They stumble across another site which is maliciously targeting yours, with HTML or JS that causes the user's browser to make a request to an endpoint on your site. This will contain the user's session cookie for your domain, and succeed unless protected by a CSRF token.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

我可以使用会话cookie代替csrf吗？ csrf
2017-03-15 05:19

回答 1 已采纳 Suppose a user has logged into your site, and has continued to browse the Internet in the same ses
cookie通常是不能跨域访问的，那问什么会有csrf攻击？ csrf web安全
2017-07-14 05:07

回答 2 已采纳浏览器会依据加载的域名附带上对应域名cookie，又不是发送b站的cookie。就是如果用户在a站登录了生成了授权的cookie之类的，然后访问b站，b站故意构造请求a站的请求，如删除操作之类
json格式的CSRF如何防御？ web安全网络安全
2022-06-30 13:50

回答 2 已采纳 https://blog.csdn.net/kclax/article/details/93908721
前端安全之CSRF + token加密
2020-05-07 14:48

wei_dan1129的博客跨站请求伪造，Cross Site Request Forgery（CSRF）：是代替用户完成指定的...1.利用一个用户的会话cookie在浏览器没有关闭的时候，是不会被删除的。在我们的Beauty.com中构造一个领奖页面，里边包含一个连接，让用...
SPA，使用oauth2 api的网站 - 我需要csrf保护吗？ javascript php
2017-07-29 14:31

回答 1 已采纳 If I understand your setup, it is as follows: User POSTs credentials (eg: login form) Server ret
如何在控制器上检查令牌（CSRF）？ csrf laravel php
2015-02-17 08:14

回答 2 已采纳 Assuming you use laravel 4.x: You don't need to check this in your controller. defining the befor
csrf攻击不理解的地方？ csrf
2022-04-13 21:14

回答 3 已采纳这样的，比如你在 http://wwww.aaa.com 网站里面，你现在登录了假如，有一个修改密码的接口，需要传一个用户名和新密码就能修改，并且要向后端传cookie，cookie校验通过了就进
【前端安全】一、CSRF攻击和XSS攻击
2020-03-06 11:26

这里是蒋丞选手的博客 1、CSRF CSRF，全称Cross-site request forgery（跨站请求伪造），其原理是利用用户的身份，执行非用户本身意愿的操作(隐式身份验证机制)。形式：图片URL、超链接、Form提交等，也可以嵌入到第三方论坛、文章...
为匿名用户使用CSRF保护是否有意义？ csrf laravel php
2015-06-30 16:20

回答 2 已采纳 CSRF is meant to protect authenticated sessions. The basic idea is: the server provides a CSRF tok
CSRF令牌保护意义何在？ csrf php
2019-01-14 16:19

回答 2 已采纳 The CSRF token is random and unique per session. Hence, an attacker can get the value of this toke
预防CSRF？ [关闭] ajax csrf javascript jquery php
2014-10-18 07:51

回答 3 已采纳 I don't think a CSRF problem is presented here. CSRF means an attacker tricking a legitimate and
身为三本的我就是凭借这些前端面试题拿到百度京东offer的，前端面试题2023及答案
2021-01-18 18:17

晟小明的博客点进来之后你的噩梦就要来了，接下来你要面对上百道面试题，那么，如果你——...接下来的题我会根据重点程度使用⭐来标记，⭐越多标明越重点，满星是5颗星 ok，你准备好了吗？咱们开始吧！ JS 数据类型面试官：JavaSc
是否应为每个请求包含csrf令牌？ csrf php
2012-04-04 05:50

回答 1 已采纳 CSRF tokens are only normally attached to things that change things on the users behalf (e.g. POST
CSRF与XSS的关系与预防
2018-08-18 22:35

Michael18811380328的博客 1.CSRF，跨站伪造请求，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则...
5 - django-csrf-session&cookie
2019-03-28 17:57

while True:的博客 HTTP Referer 字段1.2.2 在请求地址中添加 token 并验证1.2.3 在 HTTP 头中自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
没有解决我的问题, 去提问

悬赏问题

¥100 set_link_state
¥15 虚幻5 UE美术毛发渲染
¥15 CVRP 图论物流运输优化
¥15 Tableau online 嵌入ppt失败
¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度

我可以使用会话cookie代替csrf吗？

1条回答 默认 最新

悬赏问题

1条回答默认最新