为什么 token可以防止 csrf?

本文转载自查看原文 2017-09-20 12:32 1522 安全知识

Token被用户端放在Cookie中（不设置HttpOnly），同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie，不能操作Cookie来获取到Token并加到http请求的参数中。

作者：匿名用户
链接：https://www.zhihu.com/question/21385375/answer/208281970
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 token 防止csrf 17.Token是如何防止CSRF的 Token防止表单重复提交和CSRF攻击跨域post 及使用token防止csrf 攻击 CSRF Token preparedstatement 为什么可以防止sql注入 MySQL乐观锁为什么可以防止并发为什么占位符可以防止sql注入？ WEB 防止CSRF攻击 CSRF token的原理