Javascript （X/C）SRF-TOKEN cookie如何比JSESSIONID cookie更安全？_Javascript_Security_Csrf_Cross Site

Javascript （X/C）SRF-TOKEN cookie如何比JSESSIONID cookie更安全？

javascript security

Javascript （X/C）SRF-TOKEN cookie如何比JSESSIONID cookie更安全？,javascript,security,csrf,cross-site,Javascript,Security,Csrf,Cross Site,据说csrf令牌cookie可以防止跨站点攻击，因为它可以更好地保证请求来自我们网站（cf:，）生成的javascript 此CSRF cookie在登录后提供，并链接（哈希链接或类似链接）到会话ID cookie；因为（与浏览器不同），来自不同站点的javascript无法从另一个站点读取cookie并通过http头将其发送回，如果服务器通过此头接收cookie的值，则它必须来自我们站点的某些javascript 其他参考资料解释说，为了保证该机制的安全，仍然应该使用https 会话ID

据说csrf令牌cookie可以防止跨站点攻击，因为它可以更好地保证请求来自我们网站（cf:，）生成的javascript

此CSRF cookie在登录后提供，并链接（哈希链接或类似链接）到会话ID cookie；因为（与浏览器不同），来自不同站点的javascript无法从另一个站点读取cookie并通过http头将其发送回，如果服务器通过此头接收cookie的值，则它必须来自我们站点的某些javascript

其他参考资料解释说，为了保证该机制的安全，仍然应该使用https

会话ID cookie不能通过javascript发送回http自定义头中吗？它不是同样安全吗

谢谢@Andreas答案是：

原因是OWASP认为cookie-to-header解决方案更容易受到攻击！因此，他们建议不要使用额外的cookie来保护csrf，从而破坏SESSIONID cookie

这导致了提问；-）

使用javascriptYes@andrea thank you可能会复制无法访问httpOnly Cookie的内容，即使您给出的链接中的问题与play框架有明确的链接。我将我的问题更新为框架不可知论…好的，谢谢@andrea答案是