我可以使用会话 cookie 而不是 csrf 吗?
can I use session cookie instead of csrf?
我一直在阅读有关 csrf 和 fiddliN 的文章,并使用 go 和 gorilla 工具包实现它。我还使用我已经实现的大猩猩会话将用户 ID 存储在加密的 cookie 中。
cookie 已解密,我使用我编写的中间件使用现在未加密的键值存储从数据库中获取用户...
如果用户通过 oauth2 提供商通过身份验证创建会话 cookie,如果所有需要这种保护的视图无论如何都只允许授权用户使用,我是否需要实施 csrf 保护?
假设用户已登录到您的站点,并在同一会话中继续浏览 Internet。他们偶然发现了另一个恶意针对您的网站的网站,使用 HTML 或 JS 导致用户的浏览器向您网站上的端点发出请求。这将包含您域的用户会话 cookie,除非受 CSRF 令牌保护,否则会成功。
我一直在阅读有关 csrf 和 fiddliN 的文章,并使用 go 和 gorilla 工具包实现它。我还使用我已经实现的大猩猩会话将用户 ID 存储在加密的 cookie 中。
cookie 已解密,我使用我编写的中间件使用现在未加密的键值存储从数据库中获取用户...
如果用户通过 oauth2 提供商通过身份验证创建会话 cookie,如果所有需要这种保护的视图无论如何都只允许授权用户使用,我是否需要实施 csrf 保护?
假设用户已登录到您的站点,并在同一会话中继续浏览 Internet。他们偶然发现了另一个恶意针对您的网站的网站,使用 HTML 或 JS 导致用户的浏览器向您网站上的端点发出请求。这将包含您域的用户会话 cookie,除非受 CSRF 令牌保护,否则会成功。