已解決430363個問題，去搜搜看，總會有你想問的

為什么token不能在未知的情況下在偽造請求中發送，發送請求時不是都是瀏覽器提供嗎？

關注

首頁猿問為什么token不能在未知的情況下...

JavaScript

夢里花落0921 2018-08-18 11:34:56

csrf中偽造的請求可以在不得到cookie的情況下在請求頭中帶上cookie，為什么token不能在未知的情況下在偽造請求中發送，發送請求時不是都是瀏覽器提供嗎？

查看完整描述

2 回答

料青山看我應如是

TA貢獻1772條經驗獲得超8個贊

這么來說吧，Cookies是瀏覽器自動添加的。這是CSRF攻擊的原理。

但是token是無法由瀏覽器添加的，無法被跨站得到的，這是CSRF的前提，CSRF中的CS就是Cross Site，跨站。
token存在的意義就是，獲取token時，將token放在跨站無法得到的數據之中，而驗證token時，token必須出現在指定位置。

所以token在驗證時就肯定不存在cookies之中，也就不會被瀏覽器自動帶上

1 反對回復 2018-08-19

慕沐林林

TA貢獻2016條經驗獲得超9個贊

CSRF的請求是在另外一個域中發出的，自然無法訪問正確域的cookie

反對回復 2018-08-19

關注

舉報

0/150

提交

取消