0
比方说,我设置一个特定的域的cookie在浏览器中,像这样:特定于域的cookie是否容易受到CSRF的影响?
document.cookie="foo=bar;domain=.baz.com"
是这个cookie容易受到CSRF?我一直无法找到这个问题的明确答案。我们目前有一个使用智威汤逊建立的认证系统,我试图找出如何跨域扩展这些会话。
A
回答
3
是的。
CSRF攻击导致受害者在他们已经通过身份验证的站点上执行意外操作。它通过欺骗用户提交表单(或类似的行为)来工作。提交的来源可以托管在任何域上,但目标是他们登录到的站点。由于该Cookie是由原始网站设置的,因此它将与意外操作一起发送。
所有cookie都有域名。如果您作为开发人员不设置它们,则浏览器使用当前主机名作为域。域名专门设置为匹配更多主机的事实只会使潜在的目标站点变大。
相关问题
- 1. 此LINQ语句是否容易受到SQL注入的影响?
- 2. JavaScript的Date对象是否容易受到Y2038问题的影响?
- 3. SOAP web服务是否容易受到CSRF攻击?
- 4. 未经认证的网站是否容易受CSRF攻击?
- 5. Python的raw_input()容易受到缓冲区溢出的影响吗?
- 6. 确定表是否受到任何触发器的影响
- 7. CCLiquid对CCSprite特定区域的影响?
- 8. 影响IE决定是否发送跨域cookie的因素有哪些?
- 9. 交易是否影响所有查询?
- 10. Python准备好的语句容易受到SQL注入的影响
- 11. 序列不受交易影响?
- 12. Azure Runbook是否受区域中断影响?
- 13. 这个MySQL查询如何容易受到SQL注入的影响?
- 14. 这个脚本容易受到LFI(本地文件注入)的影响吗?
- 15. 这个Rails 3搜索容易受到SQL注入的影响吗?
- 16. 新的HSQLDB是否容易受到数据损坏?
- 17. clock_nanosleep是否受到adjtime和NTP的影响?
- 18. PHP文件上传是否受到max_input_time的影响?
- 19. MySQL写入是否受到表大小的影响?
- 20. 会话变量是否受到并发访问的影响?
- 21. HTTPS协议是否受到Poodle SSLv3攻击的影响?
- 22. 是什么使输入易受XSS影响?
- 23. 如何确定字段/列是否受UPDATE语句影响
- 24. C中嵌套函数的作用域如何受到影响?
- 25. 是否受影响插入行的语句总是1?
- 26. _frontendCSRF cookie似乎很容易受到SQL注入攻击
- 27. 此存储过程是否容易受到SQL注入?
- 28. 这段代码是否容易受到黑客攻击?
- 29. SQL Server 2008表值是否容易受到SQL注入攻击?
- 30. 此代码是否容易受到SQL注入攻击?
啊,呃。然后,我参考的错误类型的攻击。是否有可能由第三方获取cookie,而不使用XSS?我并不担心源自我们域的请求到我们自己的后端服务器,而是更关心第三方如何获得用户令牌。 – bioball 2015-03-31 01:46:43
是的 - 中间人攻击或者如果网站没有通过'http'服务,那么只需通过开放的无线网络观察流量即可。开发人员应该假设攻击者会遵守cookie并使用安全的cookie协议:https://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf – 2015-03-31 13:55:29
好的,感谢您的信息,这已经非常有帮助。 – bioball 2015-03-31 22:45:12