在看讲如何防御跨站请求伪造攻击时,服务端在给前端返回的响应体加了一个隐藏的input,包含了随机的csrf token;我有个疑问,那些恶意的网站,在发起伪造的请求前,可以先发送正常的GET请求,从响应中也获取到csrf token,然后用这个token在发送伪造的请求吗?
1条回答 默认 最新
关注不知道你这个问题是否已经解决, 如果还没有解决的话:- 建议你看下这篇博客👉 :为什么token能够防止CSRF(修正版)
如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 以帮助更多的人 ^-^解决 无用评论 打赏举报
分享
- 2020-06-15 01:01回答 1 已采纳 https://www.cnblogs.com/saolv/p/10995646.html
- 2022-06-30 13:50回答 2 已采纳 https://blog.csdn.net/kclax/article/details/93908721
- 2017-07-29 14:31回答 1 已采纳 If I understand your setup, it is as follows: User POSTs credentials (eg: login form) Server ret
- 2021-03-06 19:33美人瑜妈咪的博客 说明基于引入了 Spring MVC 的 Spring boot 环境。接入QQ的官方文档:传送门获取接入资格从而获取...重点在于完全使用java的后端技术调用QQ的第三方登录API完成整个登录流程——得到可以唯一标识一个QQ的openid—...
- 2017-07-14 05:07回答 2 已采纳 浏览器会依据加载的域名附带上对应域名cookie,又不是发送b站的cookie。 就是如果用户在a站登录了生成了授权的cookie之类的,然后访问b站,b站故意构造请求a站的请求,如删除操作之类
- 2017-03-15 05:19回答 1 已采纳 Suppose a user has logged into your site, and has continued to browse the Internet in the same ses
- 2019-01-14 16:19回答 2 已采纳 The CSRF token is random and unique per session. Hence, an attacker can get the value of this toke
- 2021-03-04 07:08江小柴的博客 这篇文章主要介绍了基于springboot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下session和token的区别:session是空间换时间,而...
- 2022-04-13 21:14回答 3 已采纳 这样的,比如你在 http://wwww.aaa.com 网站里面, 你现在登录了 假如,有一个修改密码的接口,需要传一个用户名和新密码就能修改,并且要向后端传cookie,cookie校验通过了就进
- 2013-06-26 20:34回答 7 已采纳 You can use route groups. This will apply the specified options to any routes defined in a group:
- 2012-04-04 05:50回答 1 已采纳 CSRF tokens are only normally attached to things that change things on the users behalf (e.g. POST
- 2021-02-12 10:11YHFJerry的博客 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送...
- 2018-06-29 05:37回答 1 已采纳 I've manually added a hidden field with the {{csrf_token()}} as the value and it now works. It see
- 2020-09-05 15:59星辰流炎的博客 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证(比如cookie),绕过后台的用户验证,达到...
- 2019-10-10 10:22Ellis_li的博客 Java实现QQ第三方登录JAVA实现QQ第三方登录第一步:申请QQ互联成为开发者1:点击头像,进入认证界面,填写信息等待审核,审核成功后成为开发者2:接下来开始创建应用:3:审核成功后,就可以拿到APP ID 和 APP Key了...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 求解O-S方程的特征值问题给出边界层布拉休斯平行流的中性曲线
- ¥15 谁有desed数据集呀
- ¥20 手写数字识别运行c仿真时,程序报错错误代码sim211-100
- ¥15 关于#hadoop#的问题
- ¥15 (标签-Python|关键词-socket)
- ¥15 keil里为什么main.c定义的函数在it.c调用不了
- ¥50 切换TabTip键盘的输入法
- ¥15 可否在不同线程中调用封装数据库操作的类
- ¥15 微带串馈天线阵列每个阵元宽度计算
- ¥15 keil的map文件中Image component sizes各项意思