Home Sign Up Sign In
ssshooter
V2EX  ›  问与答

问一个关于 CSRF 的问题

  •   
  •   ssshooter · Nov 7, 2019 · 2049 views
    This topic created in 2386 days ago, the information mentioned may be changed or developed.
    CSRF 指 A 网站正常登陆后,cookie 正常保存,其他网站 B 通过某种方式调用 A 网站接口进行操作

    但是 B 访问 A 的接口不就跨域了吗?怎么进行请求伪造呢?
  • CSRF
  • 网站
  • 接口
  • cookie
    6 replies    2019-11-07 17:45:52 +08:00
    ysc3839
        1
    ysc3839  
       Nov 7, 2019 via Android
    img script
    chenset
        2
    chenset  
       Nov 7, 2019
    1. AJAX 是跨域了, 浏览器会禁止.
    2. 如果接口是 GET 请求, 还有会被 B 页面的通过嵌入 a 连接的方式伪造
    ssshooter
        3
    ssshooter  
    OP
       Nov 7, 2019
    @ysc3839
    @chenset

    那么使用 POST 加跨域限制直接就能解决问题了?
    lxy42
        4
    lxy42  
       Nov 7, 2019
    这个网页说得很详细: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
    beastk
        5
    beastk  
       Nov 7, 2019 via iPhone
    csrf 并没有跨域
    ssshooter
        6
    ssshooter  
    OP
       Nov 7, 2019
    @lxy42 感谢,之前不知道 form 可以跨域
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3047 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 14:18 · PVG 22:18 · LAX 07:18 · JFK 10:18
    ♥ Do have faith in what you're doing.