如果有人可以帮助我了解自定义 HTTP 授权 header 如何帮助保护 CSRF 攻击。
如果我错了也请纠正我,它是否也能防止使用 fiddler 的重放攻击?
提前感谢您的帮助
最佳答案
当身份验证基于 cookie 时,客户端发出的每个请求都将被身份验证。无论它是“好”——应用程序的意图,还是“坏”——作为 CSRF 攻击的结果。浏览器将始终盲目向每个请求添加 cookie。例如,当身份验证基于承载时附加到“Authenticate” header 的 token ,客户端能够决定在哪种情况下发送经过身份验证的请求以及在哪些情况下保持匿名。
然而,这并不意味着您不能使用 Fiddler 等工具拦截请求,从 HTTP header 中获取 token 并从同一工具执行经过身份验证的请求。
关于javascript - 自定义 HTTP header 或 cookie?自定义身份验证/授权如何帮助 CSRF?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30981772/