首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ssshooter
V2EX  ›  问与答

问一个关于 CSRF 的问题

  •   
  •   ssshooter · 2019 年 11 月 7 日 · 1890 次点击
    这是一个创建于 2271 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CSRF 指 A 网站正常登陆后,cookie 正常保存,其他网站 B 通过某种方式调用 A 网站接口进行操作

    但是 B 访问 A 的接口不就跨域了吗?怎么进行请求伪造呢?
  • CSRF
  • 网站
  • 接口
  • cookie
    6 条回复    2019-11-07 17:45:52 +08:00
    ysc3839
        1
    ysc3839  
       2019 年 11 月 7 日 via Android
    img script
    chenset
        2
    chenset  
       2019 年 11 月 7 日
    1. AJAX 是跨域了, 浏览器会禁止.
    2. 如果接口是 GET 请求, 还有会被 B 页面的通过嵌入 a 连接的方式伪造
    ssshooter
        3
    ssshooter  
    OP
       2019 年 11 月 7 日
    @ysc3839
    @chenset

    那么使用 POST 加跨域限制直接就能解决问题了?
    lxy42
        4
    lxy42  
       2019 年 11 月 7 日
    这个网页说得很详细: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
    beastk
        5
    beastk  
       2019 年 11 月 7 日 via iPhone
    csrf 并没有跨域
    ssshooter
        6
    ssshooter  
    OP
       2019 年 11 月 7 日
    @lxy42 感谢,之前不知道 form 可以跨域
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   974 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 18:38 · PVG 02:38 · LAX 10:38 · JFK 13:38
    ♥ Do have faith in what you're doing.