csrf说用户访问了A网站,然后又访问恶意网站B, B中也发送请求到A,携带A站的cookie,这样就构成了csrf。
可是cookie好像是不支持跨域的吧?
cookie通常是不能跨域访问的,那问什么会有csrf攻击?
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
斯洛文尼亚旅游 2017-07-14 05:43关注浏览器会依据加载的域名附带上对应域名cookie,又不是发送b站的cookie。
就是如果用户在a站登录了生成了授权的cookie之类的,然后访问b站,b站故意构造请求a站的请求,如删除操作之类的,用script,img或者iframe之类的加载a站着个地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成crsf,会删除掉当前用户的数据
本回答被题主选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 12无用 1举报 分享
- 2022-05-23 19:50lio_zero的博客 CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用...在不退出登录的情况下,访问了危险网站。 危险网站会发出......
- 2025-07-14 13:33yqcoder的博客 跨站请求伪造,点击插入的接口,会调用 cookie,钓鱼网站防护:堵住 xss 漏洞,请求头携带 token,校验 http 中的 ...与 XSS 不同的是,CSRF 不依赖于注入脚本,而是利用用户的认证状态(如 Cookie)发起伪造请求。
- 2024-03-12 09:09汪啊汪QAQ的博客 由于该受害者已登录该网站因此该请求则会自动携带该用户的身份信息,由于身份信息正确服务器也会执行相应的敏感操作,这样受害者在访问浏览恶意网站时并不需要任何操作,神不知鬼不觉的情况下就被攻击了,执行了恶意...
- 2025-02-14 16:09一个丸子头的博客 跨域是指在浏览器中,当一个网页尝试从与其所在域名不同的域名请求资源时,浏览器出于安全考虑会阻止这种行为。协议:http:// 和 https://域名:example.com 和 api.example.com端口:example.com:8080 和 example....
- 2025-01-25 15:25酒酿泡芙1217的博客 本博客介绍了三种常见的Web安全攻击:XSS、CSRF和中间人攻击(MITM)。 XSS攻击:攻击者注入恶意脚本,窃取数据或篡改页面。 CSRF攻击:通过伪造请求执行未授权操作,防范方法包括使用随机令牌、检查Referer头部和...
- 2025-12-21 17:10天天摸鱼的java工程师的博客 前阵子帮老项目做安全加固,测试...做 Java 开发八年,从 SSH 写传统管理系统,到 Spring Cloud 搞微服务,跟 CSRF 斗智斗勇的次数不少,今天就从实战角度,把这事儿聊透 —— 不整虚的理论,只说项目里能用的干货。
- 2025-09-30 09:44破碎的天堂鸟的博客 该模式的有效性基于 CSRF 攻击的一个关键前提:攻击者可以伪造请求的全部内容,但无法读取或获取目标网站域下的响应内容或受保护的资源(如同源策略所限制)。攻击者可以伪造一个请求,让用户的浏览器自动携带目标域...
- 2025-05-28 19:14光影少年的博客 是一种攻击方式,攻击者诱导用户在已登录某网站的情况下,向该网站发送非本意的请求。例如:用户登录了银行网站后,访问攻击者页面,攻击者构造一个表单发起转账请求,银行网站会误认为是用户发起的操作。
- 2020-10-20 13:06然而,在实现跨域访问时,通常会遇到Cookie丢失的问题,这是由于浏览器的同源策略所导致的。本文将详细介绍解决Ajax跨域访问时Cookie丢失问题的方法。 首先,我们需要了解什么是同源策略。同源策略限制了来自不同源...
- 2022-03-19 18:37七彩冰淇淋与藕汤的博客 CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然...
- 没有解决我的问题, 去提问
