域特定cookie是否易受CSRF攻击
Are domain-specific cookies vulnerable to CSRF?
假设我在浏览器中设置了一个特定于域的cookie,如下所示:
document.cookie="foo=bar;domain=.baz.com"
这个cookie易受CSRF影响吗?我一直没能找到这个问题的明确答案。我们目前有一个使用JWT设置的身份验证系统,我正试图找出如何跨域扩展这些会话。
是。
CSRF攻击导致受害者在其已通过身份验证的站点上执行意外操作。它通过欺骗用户提交表单(或类似的操作)来工作。提交的源可以托管在任何域上,但目标是他们登录的网站。由于cookie是由原始网站设置的,因此它将与意外操作一起发送。
所有cookie都有域。如果您作为开发人员没有设置它们,浏览器将使用当前主机名作为域。域被专门设置为匹配更多主机,这一事实只会使潜在的目标站点变得更大。
请参阅跨站点请求伪造(CSRF)
相关文章:
- Django: AJAX + CSRF POST gives 403
- Javascript:'受保护'范围界定
- 如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
- 如何使此链接列表受cookie支持
- 域特定cookie是否易受CSRF攻击
- 如何修改此功能以获得最受欢迎的视频?(YouTube API v3)
- 如果匈牙利的记法大多被贬低;建设者的UpperCamel与其他一切的lowerCamel“;如此受欢迎
- 如何将CSRF令牌添加到javascript动态生成的表单中
- 向使用jQuery加载DOM后添加的字段添加不受限制的文本输入DatePickers
- django中动态形式的csrf令牌错误
- ExtJS:从受保护的url创建JSB3文件
- 在我的示例fiddle中,option.text()易受xs攻击
- 文档易受攻击是做什么的
- 我的PHP代码易受XSS攻击吗
- 这对XSS来说是易受攻击的吗
- 这种杀菌剂易受XSS攻击吗?
- 这些html标签和属性会使我的网站易受攻击吗?
- 创建易受XSS攻击的网页
- 是php's json_encode()在嵌入脚本元素时易受攻击
- window.location=window.location易受XSS影响