HttpOnly 能防 CSRF 吗?我是不是搞混了概念?
最近在做登录功能,看到资料说要加 HttpOnly 防止 XSS 窃取 cookie,但我以为它也能防 CSRF,结果测试发现照样能被跨站请求伪造,是不是理解错了?
比如我后端设置了 Set-Cookie: sessionid=abc123; HttpOnly; Secure,前端用 fetch 发请求时浏览器还是会自动带上这个 cookie,那攻击者构造一个恶意页面发起请求,不就绕过了吗?
<!-- 恶意网站上的代码 -->
<form action="https://mybank.com/transfer" method="POST">
<input type="hidden" name="to" value="hacker">
<input type="hidden" name="amount" value="1000">
<input type="submit" value="点我领红包!">
</form>
HttpOnly 到底和 CSRF 有啥关系?是不是还得额外加 CSRF token 才行?
- 2
回答
17浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 1
回答
2浏览
CSRF Token 刷新后前端怎么同步更新?
我在用 Axios 拦截器处理 CSRF Token 过期的情况,后端返回 419 时会刷新 token 并在响应头里带新的 XSRF-TOKEN。但我不确定怎么安全地把新 token 应用到后续请求...
- 1
回答
14浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 1
回答
14浏览
Referer检查防CSRF真的可靠吗?为什么我设置了还是被绕过?
我们后端加了Referer检查来防CSRF,但测试时发现攻击者用空Referer或者同域跳转就能绕过。我前端也试过加一些header,但好像没用。是不是这种防护方式本身就不太靠谱? 另外,我在页面里用...
- 1
回答
18浏览
前端如何配合后端做好CSRF防护?状态变更操作总被拦截怎么办?
我们项目里用的是 cookie + CSRF token 的方案,后端要求所有修改数据的请求(比如 POST、PUT)都必须带一个叫 X-CSRF-Token 的 header。但我发现每次提交表单时...
- 1
回答
48浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 2
回答
19浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
- 2
回答
29浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 2
回答
30浏览
Vue表单提交时CSRF令牌未被服务端正确验证怎么办?
我在用Vue做用户资料编辑页时,按照文档给POST请求加了CSRF令牌,但后端总返回403错误。明明在表单里加了隐藏字段,代码也按规范写了,到底是哪里出问题呢? <template> &l...
- 2
回答
51浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
