首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
广告
ssshooter
V2EX  ›  问与答

问一个关于 CSRF 的问题

  •   
  •   ssshooter · 2019-11-07 14:08:27 +08:00 · 1491 次点击
    这是一个创建于 1841 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CSRF 指 A 网站正常登陆后,cookie 正常保存,其他网站 B 通过某种方式调用 A 网站接口进行操作

    但是 B 访问 A 的接口不就跨域了吗?怎么进行请求伪造呢?
  • CSRF
  • 网站
  • 接口
  • cookie
    6 条回复    2019-11-07 17:45:52 +08:00
    ysc3839
        1
    ysc3839  
       2019-11-07 14:24:23 +08:00 via Android
    img script
    chenset
        2
    chenset  
       2019-11-07 14:24:28 +08:00
    1. AJAX 是跨域了, 浏览器会禁止.
    2. 如果接口是 GET 请求, 还有会被 B 页面的通过嵌入 a 连接的方式伪造
    ssshooter
        3
    ssshooter  
    OP
       2019-11-07 14:33:23 +08:00
    @ysc3839
    @chenset

    那么使用 POST 加跨域限制直接就能解决问题了?
    lxy42
        4
    lxy42  
       2019-11-07 14:43:54 +08:00
    这个网页说得很详细: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
    beastk
        5
    beastk  
       2019-11-07 15:39:52 +08:00 via iPhone
    csrf 并没有跨域
    ssshooter
        6
    ssshooter  
    OP
       2019-11-07 17:45:52 +08:00
    @lxy42 感谢,之前不知道 form 可以跨域
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3005 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:13 · PVG 22:13 · LAX 06:13 · JFK 09:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.