HttpOnly 能防 CSRF 吗?我是不是搞混了概念?
最近在做登录功能,看到资料说要加 HttpOnly 防止 XSS 窃取 cookie,但我以为它也能防 CSRF,结果测试发现照样能被跨站请求伪造,是不是理解错了?
比如我后端设置了 Set-Cookie: sessionid=abc123; HttpOnly; Secure,前端用 fetch 发请求时浏览器还是会自动带上这个 cookie,那攻击者构造一个恶意页面发起请求,不就绕过了吗?
<!-- 恶意网站上的代码 -->
<form action="https://mybank.com/transfer" method="POST">
<input type="hidden" name="to" value="hacker">
<input type="hidden" name="amount" value="1000">
<input type="submit" value="点我领红包!">
</form>
HttpOnly 到底和 CSRF 有啥关系?是不是还得额外加 CSRF token 才行?
- 2
回答
42浏览
CORS配置能防CSRF吗?我是不是搞混了这两个概念?
最近在做登录功能,后端同事说要加CSRF防护,但我看网上很多人提到CORS。我就试着在Nginx里配了CORS头,比如Access-Control-Allow-Origin: https://myap...
- 2
回答
26浏览
前端如何配合后端实现 CSRF 的 Session 绑定验证?
我最近在做登录功能,后端说要用 Session 绑定的方式来防 CSRF,但我搞不太明白前端要怎么配合。是不是每次请求都要带一个 token? 我看后端在登录成功后往 Session 里存了个 csr...
- 2
回答
59浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 1
回答
40浏览
设置 SameSite=Strict 的 Cookie 后,Vue 前端还能正常发送 CSRF Token 吗?
我在后端设置了带 SameSite=Strict 的 CSRF Cookie,但前端用 Vue 发请求时好像拿不到这个 Cookie,导致 CSRF Token 传不上去。我试过在 axios 请求里...
- 1
回答
46浏览
前端如何在Vue中安全使用Nonce随机数防止CSRF攻击?
我在做登录功能时,后端要求每个请求带上一个Nonce随机数来防CSRF,但我试了几次都失败了。每次页面刷新Nonce就变了,但axios拦截器里拿不到最新的值,导致请求被拒绝。 我现在的做法是在组件里...
- 2
回答
37浏览
DAST扫描前端页面时为什么总报CSRF漏洞?
我用 OWASP ZAP 做 DAST 扫描,每次扫我们 React 项目都提示 CSRF 漏洞,但我们根本没用表单提交,全是 fetch 请求,而且后端也校验了 token 啊。 尝试过在请求头加 ...
- 1
回答
31浏览
Double Submit Cookie 防 CSRF 到底怎么实现才安全?
我最近在项目里尝试用 Double Submit Cookie 方案防 CSRF,后端把 token 放在 Set-Cookie 里,前端再从 cookie 读出来塞到请求头。但我不确定这样是不是真的...
- 1
回答
66浏览
GET请求里放修改操作会被CSRF攻击吗?
我最近在做用户设置页面,不小心把“删除草稿”功能写成了GET请求,类似点个链接就删了。后来听说这样会有CSRF风险,但我不太确定是不是真的有问题? 比如下面这种写法: <a href="/api...
- 1
回答
49浏览
前端怎么正确发送 CSRF Token 到后端?
我在用 Axios 发请求时,后端要求带 CSRF Token,但我试了几次都提示验证失败。我从页面 meta 标签里读取了 token,也加到 header 里了,但好像没生效? 这是我的代码: c...
- 1
回答
52浏览
前端做CSRF防护时,Session绑定到底该怎么配合样式写?
我最近在给登录表单加CSRF防护,后端说要用Session绑定token,但我搞不清前端怎么配合。我试过把token塞进hidden input,但样式这块有点懵——比如下面这段CSS是不是会影响表单...
最简单粗暴的方案就是在表单里加个token:
后端每次校验这个token,不匹配的直接拒绝。这才是防CSRF的正确姿势。