(X/C)SRF-TOKEN cookie 为何比 JSESSIONID cookie 更安全?
How is the (X/C)SRF-TOKEN cookie more secure than the JSESSIONID cookie?
据说 csrf 令牌 cookie 可以防止 cross-site 攻击,因为它可以更好地保证请求来自我们网站生成的 javascript (cf:explanation, Spring-boot implementation)
此 CSRF cookie 提供一次 logged-in 并链接(散列链接或类似方式)到 SESSION-ID cookie;
由于(与浏览器不同),来自不同站点的 javascripts 无法从另一个站点读取 cookie 并通过 http header 将其发回,如果服务器通过此接收到此 cookie 的值header,它必须来自我们网站的某些 javascript。
其他资源说明仍应使用 https 以保证此机制的安全...
- SESSION-ID cookie 不能由 javascript 在 http 自定义 header 中发回吗?它不是同样安全吗?
谢谢@Andreas 答案是 here 有效:
原因是 OWASP 认为 cookie-to-header 解决方案更容易受到攻击!因此,他们建议不要通过使用额外的 cookie 来保护 SESSIONID cookie 来保护 csrf!
这导致问 ;-)
据说 csrf 令牌 cookie 可以防止 cross-site 攻击,因为它可以更好地保证请求来自我们网站生成的 javascript (cf:explanation, Spring-boot implementation)
此 CSRF cookie 提供一次 logged-in 并链接(散列链接或类似方式)到 SESSION-ID cookie; 由于(与浏览器不同),来自不同站点的 javascripts 无法从另一个站点读取 cookie 并通过 http header 将其发回,如果服务器通过此接收到此 cookie 的值header,它必须来自我们网站的某些 javascript。
其他资源说明仍应使用 https 以保证此机制的安全...
- SESSION-ID cookie 不能由 javascript 在 http 自定义 header 中发回吗?它不是同样安全吗?
谢谢@Andreas 答案是 here 有效:
原因是 OWASP 认为 cookie-to-header 解决方案更容易受到攻击!因此,他们建议不要通过使用额外的 cookie 来保护 SESSIONID cookie 来保护 csrf!
这导致问