Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
ssshooter
V2EX  ›  问与答

问一个关于 CSRF 的问题

  •   
  •   ssshooter · Nov 7, 2019 · 1991 views
    This topic created in 2362 days ago, the information mentioned may be changed or developed.
    CSRF 指 A 网站正常登陆后,cookie 正常保存,其他网站 B 通过某种方式调用 A 网站接口进行操作

    但是 B 访问 A 的接口不就跨域了吗?怎么进行请求伪造呢?
  • CSRF
  • 网站
  • 接口
  • cookie
    6 replies    2019-11-07 17:45:52 +08:00
    ysc3839
        1
    ysc3839  
       Nov 7, 2019 via Android
    img script
    chenset
        2
    chenset  
       Nov 7, 2019
    1. AJAX 是跨域了, 浏览器会禁止.
    2. 如果接口是 GET 请求, 还有会被 B 页面的通过嵌入 a 连接的方式伪造
    ssshooter
        3
    ssshooter  
    OP
       Nov 7, 2019
    @ysc3839
    @chenset

    那么使用 POST 加跨域限制直接就能解决问题了?
    lxy42
        4
    lxy42  
       Nov 7, 2019
    这个网页说得很详细: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
    beastk
        5
    beastk  
       Nov 7, 2019 via iPhone
    csrf 并没有跨域
    ssshooter
        6
    ssshooter  
    OP
       Nov 7, 2019
    @lxy42 感谢,之前不知道 form 可以跨域
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   825 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 20:50 · PVG 04:50 · LAX 13:50 · JFK 16:50
    ♥ Do have faith in what you're doing.