CSRF如何发送跨域的Cookie的?

SYLiu
  • 537

Cookie存在同源策略,不同的域名无法访问。
例如,有A,C两个网站,C网站为恶意网站,C网站是如何获得A网站的Cookie然后向A网站服务器发送请求的?

评论
阅读 3.1k
1 个回答

发请求自动带上的
mdn cookie


防止XSRF最好的方式是使用CSRF-token。


cookie一般用于保存信息,你向同一个服务器发请求时会带上浏览器保存的对于那个服务器的cookie,而不管你从哪个网站发请求。
所以后端需要设置Access-Control-Allow-Origin,浏览器会看你的访问网站是否是被允许的域,如果允许就发请求并能获得数据,如果不受允许那么能发请求但是js脚本无法获取返回的数据(你仍然能在NetWork中看到返回)。


可以看下这篇文章

撰写回答

登录后参与交流、获取后续更新提醒

宣传栏