文件名称:CSRF进阶进阶-apache beam 2019 programming guide
文件大小:13.15MB
文件格式:PDF
更新时间:2024-07-30 10:20:10
web安全
4.2 CSRF进阶进阶 4.2.1 浏览器的 浏览器的Cookie策略策略 在上节提到的例子里,攻击者伪造的请求之所以能够被搜狐服 务器验证通过,是因为用户的浏览器成功发送了Cookie的缘 故。 浏览器所持有的Cookie分为两种:一种是“Session Cookie”, 又称“临时Cookie”;另一种是“Third-party Cookie”,也称为“本 地Cookie”。 两者的区别在于,Third-party Cookie是服务器在Set-Cookie时 指定了Expire时间,只有到了Expire时间后Cookie才会失效,所 以这种Cookie会保存在本地;而Session Cookie则没有指定Ex- pire时间,所以浏览器关闭后,Session Cookie就失效了。 在浏览网站的过程中,若是一个网站设置了Session Cookie, 那么在浏览器进程的生命周期内,即使浏览器新打开了Tab 页,Session Cookie也都是有效的。Session Cookie保存在浏 览器进程的内存空间中;而Third-party Cookie则保存在本地。 如果浏览器从一个域的页面中,要加载另一个域的资源,由于 安全原因,某些浏览器会阻止Third-party Cookie的发送。 下面这个例子,演示了这一过程。