security - HTTPS 是否可以防止 session 骑马？

Question

在典型的 session 骑马场景中，攻击者让受害者机器向他们已经登录的网站发送 HTTP 请求，例如在 CSRF 攻击的情况下诱骗受害者打开链接。浏览器在 HTTP 请求中包含 session cookie(以及该站点的所有其他 cookie)，因此攻击者可以执行任何(可能是恶意的)受害者有权执行的操作。

HTTPS 加密整个数据包，因此无法读取内容，包括 header 和 cookie。但它是否可以防止 session 骑乘攻击，或者浏览器是否仍会包含 cookie 并自动使用正确的加密？

Answer 1

will the browser still include the cookies and use correct encryption automatically?

Yes . CSRF 攻击之所以有效，是因为浏览器会像对待用户通常希望发出的任何其他请求一样对待请求。 HTTP 和 HTTPS 请求都像往常一样与所有 cookie 数据一起发送。这就是应用程序的服务器端使用 token 进行补偿的原因。