V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Aruix
V2EX  ›  问与答

为什么 csrf 攻击里,发起攻击的站点能拿到受害站点的 Cookies 呢?

  •  
  •   Aruix · 2022-04-18 12:51:21 +08:00 · 1220 次点击
    这是一个创建于 980 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://stackoverflow.com/questions/5207160/what-is-a-csrf-token-what-is-its-importance-and-how-does-it-work

    就是这个例子里面,cute-cat 网站为什么能拿到 mybank 的 Cookies 进行身份认证? Cookies 在每次浏览器发起请求时都会被携带,Cookies 应该会在服务端被用来鉴权(身份认证),cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ,就没办法在 mybank 的服务器进行身份认证啊。那 cute-cat 的在 mybank 的身份认证就过不去,为什么还能攻击成功呢?

    想不明白,大佬带带。

    6 条回复    2022-04-18 14:20:17 +08:00
    fe619742721
        1
    fe619742721  
       2022-04-18 13:01:21 +08:00
    “cute-cat 在浏览器中因为 domain 不一样,应该是拿不到 mybank 的 Cookies ”——浏览器发送请求时是否携带 cookie ,取决于请求的域名及路径,而不是当前页面的域名。
    当你在 A 页面请求 B 域名路径时,就是一次跨站请求,在较早前的浏览器版本里,跨站请求是可以携带 cookie 的,从而形成 CSRF 攻击

    现在的浏览器都开始通过 SameSite 的属性来控制 cookie 发送,默认 SameSite=Lax ,严格禁止跨站请求携带 cookie 。
    lalalaqwer
        2
    lalalaqwer  
       2022-04-18 13:01:44 +08:00
    cute-cat 并没有拿到 mybank 的 cookie ,cute-cat 只是向 mybank 发送了一个请求而已,这个请求会带上 cookie
    fe619742721
        3
    fe619742721  
       2022-04-18 13:02:36 +08:00
    fix: 上述现在的浏览器特指 chrome 80 以上版本,经检索 firefox 似乎有其他的同源安全策略
    Aruix
        4
    Aruix  
    OP
       2022-04-18 13:10:23 +08:00
    @fe619742721 所以现在的浏览器,想进行 csrf 攻击是不太有可能的了吗?因为浏览器的 cookie 策略发生了改变。
    fe619742721
        5
    fe619742721  
       2022-04-18 13:29:22 +08:00
    @Aruix chrome 的默认行为会避免跨站攻击,理论上不太可能了。但是还是有很多低版本浏览器需要考虑进去,该做的防护还是得做
    Aruix
        6
    Aruix  
    OP
       2022-04-18 14:20:17 +08:00
    @fe619742721 感谢回答,我现在完全明白了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5116 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 03:50 · PVG 11:50 · LAX 19:50 · JFK 22:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.