- 主题:session没有什么安全啊
我从cookie里取到csrftoken,就可以访问ajax api啊。
认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
恶意程序除了看不到内容,其它操作都可以拿到权限啊。
--
FROM 116.247.85.*
恶意程序拿到密码以后啥事不是干。
【 在 wuhaochi (oo) 的大作中提到: 】
: 我从cookie里取到csrftoken,就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
: 恶意程序除了看不到内容,其它操作都可以拿到权限啊。
: ...................
--
FROM 117.30.117.*
正常程序能做的,恶意程序都能做
【 在 wuhaochi (oo) 的大作中提到: 】
: 我从cookie里取到csrftoken,就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
: 恶意程序除了看不到内容,其它操作都可以拿到权限啊。
: ...................
--
FROM 49.74.228.*
csrftoken 就是防 CSRF 的,病毒感染机器它管不了
就像银行密码只能防有人捡到你的卡去取钱,至于有没有歹徒把刀架你脖子上逼你取钱,那取款机可没法知道
【 在 wuhaochi (oo) 的大作中提到: 】
: 我从cookie里取到csrftoken,就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
: 恶意程序除了看不到内容,其它操作都可以拿到权限啊。
: ...................
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*
客户端被劫持的话还能怎样
所以安全系统的设计准则之一就是
永远不要相信自己不可控的客户端
【 在 wuhaochi (oo) 的大作中提到: 】
: 我从cookie里取到csrftoken,就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
: 恶意程序除了看不到内容,其它操作都可以拿到权限啊。
: ...................
--
FROM 116.226.157.*
CSRF的前提是你先得做好XSS跨站脚本防御--主要方式就是所有的前后端动态输出都得加过滤。
有人从后门进来,你埋怨前门锁的质量毫无意义。
【 在 wuhaochi 的大作中提到: 】
: 我从cookie里取到csrftoken,就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗,这不也是在cookie里?
: 恶意程序除了看不到内容,其它操作都可以拿到权限啊。
: ...................
--
修改:dhcn FROM 124.42.13.*
FROM 124.42.13.*