为什么 auth cookie 容易受到 CSRF 的影响，而 auth 令牌则不会

Question

我一直在阅读有关 cookie、本地和会话存储以及它们如何与身份验证相关的内容。

我一直在阅读的一件事是，API 通常不必像 Web 应用程序那样担心 CSRF（闪存相关的漏洞除外？），原因与基于 cookie 的身份验证与基于令牌的身份验证有关。

我不明白为什么 cookie 比令牌更容易使用。是不是因为 cookie 是根据请求的域自动发送的，而发送令牌需要某种手动操作。最后的陈述是否正确？

我认为我感到困惑的一个原因是因为我使用的框架似乎总是自己实现这些东西，所以我从来不需要深入研究来实现它。

Answer 1

是的，当您访问恶意网站并且该网站触发对合法网站的请求时，浏览器会implicitly authenticate 时发生 CSRF 攻击。

例如，如果您仍然使用基于 cookie 的身份验证机制登录到您的电子邮件提供商，并且您碰巧访问了一个恶意站点，该站点执行从其 JavaScript 到 https://www.youremailprovider.com/inbox 的请求，那么浏览器将自动附加 cookie 它已为该域存储到请求中。现在，来自恶意网站的 JavaScript 刚刚可以访问您收件箱中的所有电子邮件。

基于令牌的身份验证不易受到此类攻击，因为攻击者站点首先需要窃取令牌，然后才能对合法网站进行 AJAX 调用。