qq-dabins
2017-07-14 05:07
采纳率: 100%
浏览 3.7k
已采纳

cookie通常是不能跨域访问的,那问什么会有csrf攻击?

csrf说用户访问了A网站,然后又访问恶意网站B, B中也发送请求到A,携带A站的cookie,这样就构成了csrf。
可是cookie好像是不支持跨域的吧?

  • 写回答
  • 好问题 提建议
  • 关注问题
  • 收藏
  • 邀请回答

2条回答 默认 最新

  • 已采纳

    浏览器会依据加载的域名附带上对应域名cookie,又不是发送b站的cookie。

    就是如果用户在a站登录了生成了授权的cookie之类的,然后访问b站,b站故意构造请求a站的请求,如删除操作之类的,用script,img或者iframe之类的加载a站着个地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成crsf,会删除掉当前用户的数据

    已采纳该答案
    评论
    解决 11 无用
    打赏 举报
  • 小鹏残月 2017-07-14 17:51

    举例,就像这种网站http://wo56455.xyz/

    评论
    解决 无用
    打赏 举报

相关推荐 更多相似问题