我可以使用会话 cookie 代替 csrf 吗?

【问题标题】:can I use session cookie instead of csrf?我可以使用会话 cookie 代替 csrf 吗?
【发布时间】:2017-03-15 13:48:31
【问题描述】:

我一直在阅读有关 csrf 和 fiddliN 的相关信息,并使用 go 和 gorilla 工具包实现它。我还在使用我已经实现的 gorilla 会话,将用户 ID 存储在加密的 cookie 中。

cookie 被解密,我使用我编写的中间件从数据库中获取用户,现在未加密的键值存储...

如果用户通过 oauth2 提供程序从身份验证创建会话 cookie,如果所有需要此类保护的视图都只允许经过身份验证的用户,我是否需要实施 csrf 保护?

【问题讨论】:

    标签: cookies go session-cookies csrf csrf-protection


    【解决方案1】:

    假设用户已登录您的网站,并在同一会话中继续浏览 Internet。他们偶然发现了另一个恶意针对您的站点,其 HTML 或 JS 会导致用户的浏览器向您站点上的端点发出请求。这将包含您域的用户会话 cookie,除非受 CSRF 令牌保护,否则会成功。

    【讨论】:

      猜你喜欢
      • 2011-05-26
      • 1970-01-01
      • 2012-05-27
      • 2023-01-24
      • 2013-07-31
      • 2016-03-24
      • 2012-08-11
      • 2022-01-23
      • 2015-08-07
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode