各位大佬,我想知道CSRF到底是得到了用户的cookie进行请求伪造,还是利用黑客网站的恶意脚本向信任网站发送请求呢?(就是黑客网站其实是得不到用户cookie的具体信息吗?)
CSRF跨站请求伪造到底得不得到用户的cookie信息?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
放风喽 2021-04-03 10:37关注不想需要获得任何信息,只是让用户无意之间触发一个跨域请求而已。
用户点击之后,发出的跨域请求,浏览器会完善请求的信息,如果请求里面需要加上令牌或者个人信息等东西,浏览器就会加上。
解决 无用评论 打赏举报 分享
- 2017-07-14 05:07回答 2 已采纳 浏览器会依据加载的域名附带上对应域名cookie,又不是发送b站的cookie。 就是如果用户在a站登录了生成了授权的cookie之类的,然后访问b站,b站故意构造请求a站的请求,如删除操作之类
- 2013-11-27 06:19回答 1 已采纳 No, that won't do anything to stop CSRF. What you need is a token of some kind that is passed to
- 2022-04-13 21:14回答 3 已采纳 这样的,比如你在 http://wwww.aaa.com 网站里面, 你现在登录了 假如,有一个修改密码的接口,需要传一个用户名和新密码就能修改,并且要向后端传cookie,cookie校验通过了就进
- 2024-04-19 14:25nuc_ddddsj的博客 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点...
- 2017-03-15 05:19回答 1 已采纳 Suppose a user has logged into your site, and has continued to browse the Internet in the same ses
- 2022-06-30 13:50回答 2 已采纳 https://blog.csdn.net/kclax/article/details/93908721
- 2019-01-14 16:19回答 2 已采纳 The CSRF token is random and unique per session. Hence, an attacker can get the value of this toke
- 2022-11-23 17:12偷偷学习被我发现的博客 网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名...
- 2022-10-11 19:24回答 4 已采纳 共同点为:将一些隐私数据像 cookie、session 发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行一些恶意操作。
- 2021-08-29 22:50回答 2 已采纳 根据请求头语义,应该是服务端做了「跨站请求伪造(CSRF)」验证,后端会验证这个请求头(csrf)的值。csrf都是服务端动态生成,下发客户端的,所以不应该写死。
- 2015-06-30 16:20回答 2 已采纳 CSRF is meant to protect authenticated sessions. The basic idea is: the server provides a CSRF tok
- 2023-08-28 20:13过期的秋刀鱼-的博客 跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者...
- 2018-06-22 11:31回答 3 已采纳 As far as I know, there is no @csrf in 5.4, you must use {{ csrf_field() }} Instead, @csrf is
- 2023-07-01 22:36p36273的博客 漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
- 2022-12-28 15:40Msura的博客 跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种恶意攻击,目的是在用户不知情的情况下,让用户的浏览器执行恶意请求。这种攻击利用了浏览器在同一站点内的身份验证凭证,例如Cookie,来执行恶意请求。 跨站...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 本人本科机械,目前研一。没有深度学习基础,目前对研究生课题一片迷茫,请教各位!
- ¥15 关于R语言单因素与多因素线性回归的平均值
- ¥15 服务器清除BIOS之后引导不了
- ¥15 CPLEX用OPL编写的混合整数线性优化问题。
- ¥15 可以用EasyConnect连接实验室内网,但无法连接内网才能访问的服务器,为什么?
- ¥15 前端预览docx文件,文件从后端传送过来。
- ¥15 层次聚类和蛋白质相似度
- ¥25 主成分分析中的第一第二主成分分别代表哪些参数
- ¥15 oracle数据库查询语句问题
- ¥15 有没有c++绘制算法的佬们吗救孩一下