gpt4 book ai didi

cors - 正确的 CORS 设置是否会阻止 XSRF?

转载 作者:行者123 更新时间:2023-12-03 08:47:33 26 4
gpt4 key购买 nike

如果在服务器上正确设置 CORS 以仅允许某些来源访问服务器,这是否足以防止 XSRF 攻击?

最佳答案

更具体地说,很容易错误地认为如果 evil.com 由于 CORS 无法向 good.com 发出请求,那么 CSRF 就被阻止了。然而,有两个问题被忽视了:

  • CORS 仅受浏览器的尊重。这意味着谷歌浏览器将遵守 CORS,不会让 evil.com 向 good.com 提出请求。但是,想象一下有人构建了一个原生应用程序或任何具有将内容发布到您网站的表单的东西。 XSRF token 是防止这种情况的唯一方法。
  • 是不是很容易忽略 CORS 只针对 JS 请求的事实。尽管有 CORS,但在 evil.com 上发回 good.com 的常规表单仍然有效。

  • 由于这些原因,CORS 不是 XSRF token 的良好替代品。最好同时使用两者。

    关于cors - 正确的 CORS 设置是否会阻止 XSRF?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19793695/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com