http - 是否存在不使用 cookie 的 CSRF 攻击?
问题描述
假设 HTTP 服务器实际上根本不从 cookie 中读取数据。所有数据都来自请求的不同部分:headers、body、url 等。这个事实是否保证不会有 CSRF 攻击?
解决方案
CSRF 并不特别需要 cookie。它需要由浏览器自动发送的身份验证。例如,其他此类身份验证形式包括 http 基本身份验证和客户端证书。
如果使用特定的 http 标头进行授权(例如不记名令牌),则有效地阻止了 CSRF。
推荐阅读
- c++ - 字符串运算符 +(重载)char 数组和 string.in cpp 的不同行为
- android - 如何将任何本机应用程序转换为 ionic cordova 插件
- python - Python groupby 嵌套字典在聚合中不明确
- c++ - 为 boost::deque 保留块分配器?
- api - 操作系统错误:没有与主机名关联的地址,errno = 7
- javascript - 如何在数组中推送动态值?
- r - 无法在 R-studio 中安装 tensorflow
- bash - 相同的命令,Mac 和 Centos 上的不同结果
- c++ - 打开 MP 瓶颈问题
- javascript - 使用 JS 从另一个页面更改主页上 div 元素的内容