我一直在考虑Same Origin Policy和CSRF,但无法回答自己为什么 Web 浏览器开发人员不使用更简单的解决方案。
与其禁止跨域脚本,为什么它们不能允许对任何站点的任何访问,但使用一个空的 cookie jar?(或者更确切地说,一个只包含当前域的 cookie 的 cookie jar)
任何标签(img、脚本等)都是一样的
如果任何访问都没有 cookie,那么 CSRF 可以做什么?
问问题
75 次
1 回答
1
关于仅包含当前域的 cookie 的 cookie jar:当前域的 cookie 可能包含例如会话信息。然后可以通过线路发送此信息并导致会话劫持(例如)。
即使脚本没有 cookie 信息,网站上也可能存在其他敏感信息,可能通过 DOM 可见。然后可以跨域上传此信息。
另一方面,我不认为同源策略实际上对阻止恶意黑客有任何作用。正如您所说,img 和脚本可以发出请求。我可以运行一个返回 404 的服务器,但保留 GET 请求的日志(例如:恶意网站here.com/fake404.html?bankaccountnumber=34398439843983&otherinformation=blah)
于 2012-08-30T20:02:43.540 回答