存储 "remember me" cookie 和 CSRF 保护
Storing "remember me" cookie and CSRF protection
我读到 "remember me" cookie 存储在 "httpOnly" cookie 中,因此 JavaScript/XSS 无法访问它们。但是,"httpOnly" cookie 容易受到 CSRF 攻击,因为它们是随请求自动发送的。
为了减轻 CSRF 攻击,建议使用同步令牌模式(让服务器生成 csrf 令牌并与客户端交叉检查)。
我的问题是,如果"remember me" cookie 可用,CSRF 攻击(恶意JavaScript)是否有可能发出请求并随后获取从服务器生成的csrf 令牌?令人担忧的是,如果攻击具有 cookie 以及随请求发送的令牌,则应用程序的安全性已受到损害。
如果这确实可能,我们如何才能避免这种情况?
不,由于 Same Origin Policy.
,令牌无法被另一个域读取
如果请求是在服务器端绕过 SOP,那么服务器不会从受害者的浏览上下文中获取令牌,因此这不能攻击登录用户(服务器只能攻击他们自己的用户他们过去常常用)获得令牌。
因此,无需担心(当然,只要您尚未启用 CORS)。
我读到 "remember me" cookie 存储在 "httpOnly" cookie 中,因此 JavaScript/XSS 无法访问它们。但是,"httpOnly" cookie 容易受到 CSRF 攻击,因为它们是随请求自动发送的。
为了减轻 CSRF 攻击,建议使用同步令牌模式(让服务器生成 csrf 令牌并与客户端交叉检查)。
我的问题是,如果"remember me" cookie 可用,CSRF 攻击(恶意JavaScript)是否有可能发出请求并随后获取从服务器生成的csrf 令牌?令人担忧的是,如果攻击具有 cookie 以及随请求发送的令牌,则应用程序的安全性已受到损害。 如果这确实可能,我们如何才能避免这种情况?
不,由于 Same Origin Policy.
,令牌无法被另一个域读取如果请求是在服务器端绕过 SOP,那么服务器不会从受害者的浏览上下文中获取令牌,因此这不能攻击登录用户(服务器只能攻击他们自己的用户他们过去常常用)获得令牌。
因此,无需担心(当然,只要您尚未启用 CORS)。