关于csrf攻击疑问

http://www.cnblogs.com/hyddd/...

如上文章所述,危险网站B为什么会带上银行网站A的cookie呢?不是同一域名的cookie不能共享的吧,所以那种csrf攻击不能完成吧

阅读 2.5k
3 个回答

因为请求的是银行A的地址呀,带的也是银行A的cookie,何来不同域名cookie共享之说?

另外

访问谁就带谁的cookie,跟从哪个页面发起的访问无关。

你可以理解为在危险网站B中内嵌了一个隐藏的iframe,这个iframe就是已经登录过的网站,这样,你的疑问就不存在了

一般都是要在B中内嵌一个iframe,访问A网站,浏览器一看是访问A网站,就会带上A网站的cookie去访问。类似于模拟请求操作了。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题