csrf 为什么可以用其他页面的cookie

csrf 为什么可以用其他页面的cookie

知道cookie的作用，你就明白了cookie有什么作用呢？现在上许多网站都用新用户注册这一项，有时注册了一下，等到下次再访问该站点时，会自动识别到你，并且向你问好，是不是觉得很亲切？当然这种作用只是表面现象，更重要的是，网站可以利用cooki...

csrf攻击原理比较简单，如图1所示。其中web a为存在csrf漏洞的网站，web b为攻击者构建的恶意网站，user c为web a网站的合法用户。 1. 用户c打开浏览器，访问受信任网站a，输入用户名和密码请求登录网站a; 2.在用户信息通过验证后，网站a产生cookie信息并返回给浏览器，此时用户登录网站a成功，可以正常发送请求到网站a; 3. 用户未退出网站a之前，在同一浏览器中，打开一个tab页访问网站b; 4. 网站b接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点a; 5. 浏览器在接收到这些攻击性代码后，根据网站b的请求，在用户不知情的情况下携带cookie信息，向网站a发出请求。网站a并不知道该请求其实是由b发起的，所以会根据用户c的cookie信息以c的权限处理该请求，导致来自网站b的恶意代码被执行。