由通过seeion识别保存在cookie中的seeionID引发的CSRF问题

Posted ykingcc

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了由通过seeion识别保存在cookie中的seeionID引发的CSRF问题相关的知识,希望对你有一定的参考价值。

技术分享图片

上图是一个完整的CSRF攻击过程解释图

重点是第三句话

用户在没有登出的情况下,被攻击者获得了SESSIONID信息,伪造真用户登录

 

二、CSRF防御

  • 通过 referer、token 或者 验证码 来检测用户提交。
  • 尽量不要在页面的链接中暴露用户隐私信息。
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie,严格设置cookie的域。

 

以上是关于由通过seeion识别保存在cookie中的seeionID引发的CSRF问题的主要内容,如果未能解决你的问题,请参考以下文章

设置获取用户登录信息的Seeion类

通过 Excel/Word 中的超链接打开的选项卡无法识别会话 cookie

WKWebView详解(三)Cookie的认识

PHP Cookie处理函数

electron 中的 cookies 持久化保存到硬盘及恢复现场

Cookie