Http 我们可以通过会话Cookie身份验证防止XSRF吗?
我们已经接管了一个遗留应用程序,并希望开始为其编写单页应用程序组件 我们知道两种最常见的攻击向量是XSS和CSRF 鉴于此应用程序使用会话Cookie样式的身份验证,我们将在会话Cookie上启用HTTPOnly cookies(以保护其免受XSS攻击) 但是,我对处理CSRF攻击有点困惑 目前,该应用程序将在每个表单POST请求上生成一个隐藏的“令牌”,当请求返回到服务器时,该令牌将与会话进行双重检查 然而,我们现在有数百个JSON Ajax调用,单表单帖子现在已经无关紧要了 我们希望生成一个CSRF令牌,并在每个AJAX请求的头中继续传递它。但这真的有效吗Http 我们可以通过会话Cookie身份验证防止XSRF吗?,http,httpsession,Http,Httpsession,我们已经接管了一个遗留应用程序,并希望开始为其编写单页应用程序组件 我们知道两种最常见的攻击向量是XSS和CSRF 鉴于此应用程序使用会话Cookie样式的身份验证,我们将在会话Cookie上启用HTTPOnly cookies(以保护其免受XSS攻击) 但是,我对处理CSRF攻击有点困惑 目前,该应用程序将在每个表单POST请求上生成一个隐藏的“令牌”,当请求返回到服务器时,该令牌将与会话进行双重检查 然而,我们现在有数百个JSON Ajax调用,单表单帖子现在已经无关紧要了 我们希望生成一个
如果我们只是在登录时生成一个XSRF令牌,然后在每次请求时(在标题中)简单地将其传递回线路,我们能期望它被归类为安全的吗?这里XSRF和CSRF之间有区别吗?“我们将在会话cookie上启用HTTPOnly cookie(以保护它免受XSS攻击)”您希望XSS提供什么样的确切保护?