0
比方說,我設置一個特定的域的cookie在瀏覽器中,像這樣:特定於域的cookie是否容易受到CSRF的影響?
document.cookie="foo=bar;domain=.baz.com"
是這個cookie容易受到CSRF?我一直無法找到這個問題的明確答案。我們目前有一個使用智威湯遜建立的認證系統,我試圖找出如何跨域擴展這些會話。
A
回答
3
是的。
CSRF攻擊導致受害者在他們已經通過身份驗證的站點上執行意外操作。它通過欺騙用戶提交表單(或類似的行爲)來工作。提交的來源可以託管在任何域上,但目標是他們登錄到的站點。由於該Cookie是由原始網站設置的,因此它將與意外操作一起發送。
所有cookie都有域名。如果您作爲開發人員不設置它們,則瀏覽器使用當前主機名作爲域。域名專門設置爲匹配更多主機的事實只會使潛在的目標站點變大。
相關問題
- 1. 這是否容易受到SQL注入的影響
- 2. 此LINQ語句是否容易受到SQL注入的影響?
- 3. 覆蓋是否更容易受到網絡釣魚的影響?
- 4. JavaScript的Date對象是否容易受到Y2038問題的影響?
- 5. CUDA CURAND是否容易受數據競爭影響?
- 6. SOAP web服務是否容易受到CSRF攻擊?
- 7. PECL imagick擴展是否也容易受到ImageMagick新安全問題的影響?
- 8. 未經認證的網站是否容易受CSRF攻擊?
- 9. Python的raw_input()容易受到緩衝區溢出的影響嗎?
- 10. API應用程序如何易受CSRF影響?
- 11. 這是否容易受到SQL注入?
- 12. 確定表是否受到任何觸發器的影響
- 13. PHP中的特徵是否受名稱空間的影響?
- 14. CCLiquid對CCSprite特定區域的影響?
- 15. 影響IE決定是否發送跨域cookie的因素有哪些?
- 16. 交易是否影響所有查詢?
- 17. Python準備好的語句容易受到SQL注入的影響
- 18. 這個Python代碼容易受到SQL注入的影響嗎? (sqlite3的)
- 19. 序列不受交易影響?
- 20. Azure Runbook是否受區域中斷影響?
- 21. 這個腳本容易受到LFI(本地文件注入)的影響嗎?
- 22. 這個MySQL查詢如何容易受到SQL注入的影響?
- 23. 這個Rails 3搜索容易受到SQL注入的影響嗎?
- 24. 所有輸入字段都容易受到sql注入的影響嗎?
- 25. CSS3的結尾是否受到用戶sid影響的$函數?
- 26. UTC_TIMESTAMP()是否受夏時制影響?
- 27. SUDS是否受防火牆影響?
- 28. 獲取其中的特定對象受到影響
- 29. 我的PHP代碼是否容易受到XSS?
- 30. 新的HSQLDB是否容易受到數據損壞?
啊,呃。然後,我參考的錯誤類型的攻擊。是否有可能由第三方獲取cookie,而不使用XSS?我並不擔心源自我們域的請求到我們自己的後端服務器,而是更關心第三方如何獲得用戶令牌。 – bioball 2015-03-31 01:46:43
是的 - 中間人攻擊或者如果網站沒有通過'http'服務,那麼只需通過開放的無線網絡觀察流量即可。開發人員應該假設攻擊者會遵守cookie並使用安全的cookie協議:https://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf – 2015-03-31 13:55:29
好的,感謝您的信息,這已經非常有幫助。 – bioball 2015-03-31 22:45:12