为什么 csrf 攻击里，发起攻击的站点能拿到受害站点的 Cookies 呢？

“cute-cat 在浏览器中因为 domain 不一样，应该是拿不到 mybank 的 Cookies ”——浏览器发送请求时是否携带 cookie ，取决于请求的域名及路径，而不是当前页面的域名。
当你在 A 页面请求 B 域名路径时，就是一次跨站请求，在较早前的浏览器版本里，跨站请求是可以携带 cookie 的，从而形成 CSRF 攻击

现在的浏览器都开始通过 SameSite 的属性来控制 cookie 发送，默认 SameSite=Lax ，严格禁止跨站请求携带 cookie 。

cute-cat 并没有拿到 mybank 的 cookie ，cute-cat 只是向 mybank 发送了一个请求而已，这个请求会带上 cookie

fix: 上述现在的浏览器特指 chrome 80 以上版本，经检索 firefox 似乎有其他的同源安全策略

@fe619742721 所以现在的浏览器，想进行 csrf 攻击是不太有可能的了吗？因为浏览器的 cookie 策略发生了改变。

@Aruix chrome 的默认行为会避免跨站攻击，理论上不太可能了。但是还是有很多低版本浏览器需要考虑进去，该做的防护还是得做

@fe619742721 感谢回答，我现在完全明白了