比如用户登录了某银行网站(假设为
http://www.examplebank.com/,并且转账地址为
http://www.examplebank.com/withdraw?amount=1000&transferTo=PayeeName),登录后 cookie 里会包含登录用户的 sessionid,攻击者可以在另一个网站上放置如下代码
文章插图
CSRF 攻击的根本原因在于对于同样域名的每个请求来说,它的 cookie 都会被自动带上,这个是浏览器的机制决定的,所以很多人据此认定 cookie 不安全 。
使用 token 确实避免了CSRF 的问题,但正如上文所述,由于 token 保存在 local storage,它会被 JS 读取,从存储角度来看也不安全(实际上防护 CSRF 攻击的正确方式是用 CSRF token)
所以不管是 cookie 还是 token,从存储角度来看其实都不安全,都有暴露的风险,我们所说的安全更多的是强调传输中的安全,可以用 HTTPS 协议来传输, 这样的话请求头都能被加密,也就保证了传输中的安全 。
其实我们把 cookie 和 token 比较本身就不合理,一个是存储方式,一个是验证方式,正确的比较应该是 session vs token 。
总结session 和 token 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已(一个保存在 server,通过在 redis 等中间件获取来校验,一个保存在 client,通过签名校验的方式来校验),多数场景上使用 session 会更合理,但如果在单点登录,一次性命令认证上使用 token 会更合适,最好在不同的业务场景中合理选型,才能达到事半功倍的效果 。
好了,这篇文章的内容蜀川号就和大家分享到这里!
- 养生壶怎么用养生壶使用方法详解 养生壶煮各种粥的做法
- 安然纳米汗蒸好不好 安然纳米直销奖金制度详解
- 宝宝取名 2023年9月26日八月十二出生女生五行旺缺详解
- 宝宝取名 2023年9月23日秋分出生女生五行旺缺详解
- 宝宝取名 2023年9月26日八月十二出生男生五行旺缺详解
- 宝宝取名 2023年9月23日秋分出生男生五行旺缺详解
- 中国银行token到期是什么意思 中国银行token到期怎么办
- 正官格八字命局详解 正官格命格
- 如何快速让胸部变大 睡前丰胸按摩步骤图详解
- 宝宝取名 2023年9月10日教师节出生男生五行旺缺详解
特别声明:本站内容均来自网友提供或互联网,仅供参考,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。