为什么使用cookies传输CSRF令牌不安全?
我从许多文章中读到,CSRF令牌不应该在cookie中传输,因为它是不安全的。但我不明白为什么。为了确保安全性,我们只需要为cookie设置httpOnly,这样黑客就无法访问cookie(包括其中的CSRF令牌),也无法创建有效的请求。在这种情况下还不够安全吗为什么使用cookies传输CSRF令牌不安全?,cookies,csrf,Cookies,Csrf,我从许多文章中读到,CSRF令牌不应该在cookie中传输,因为它是不安全的。但我不明白为什么。为了确保安全性,我们只需要为cookie设置httpOnly,这样黑客就无法访问cookie(包括其中的CSRF令牌),也无法创建有效的请求。在这种情况下还不够安全吗