CSRF学习

最近在看道哥的《白帽子讲web安全》(大学买的第一本书),觉得物超所值啊~把书上的一些简单的实验给复现一下,记录一下。

浏览器的cookie策略

浏览器的cookie分两种:一种是“Session Cookie”,又称“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。

两者的区别在于,Third-party Cookie是服务器在Set-Cookie是指定了Expire时间,只有到了时间后Cookie才会失效,所以这种Cookie会保存在本地;而Session Cookie则没有指定Expire时间,所以浏览器关闭后,Session Cookie就失效了。

例如在http://67.209.184.30/a.php中,会给浏览器写入两个Cookie:一个是Session Cookie,另一个为Third-party Cookie

1
2
3
4
<?php
header('set-cookie: cookie1=test1;');
header('set-cookie: cookie2=test2;expires=Thu,01-jan-2030 00:00:01 GMT;',false);
?>

访问该页面,发现浏览器接受了两个Cookie。

此时在另外一个域中,有一个页面http://127.0.0.1/index.html,此页面构造了CSRF以访问67.209.184.30

1
<iframe src="http://67.209.184.30/"></iframe>

此时如果是IE,会默认禁止浏览器在

×

纯属好玩

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

文章目录
  1. 1. 浏览器的cookie策略
,