0
은 CSRF 토큰 쿠키는 요청이 우리의 웹 사이트 (explanation, Spring-boot implementation CF)에 의해 생성 된 자바 스크립트에서 더 나은 품질 보증 오는 것이라고 때문에 크로스 사이트 공격으로부터 보호 할 수 있다고 -in이며 세션 ID 쿠키에 링크 (해시 링크 또는 유사)됩니다. (브라우저와 달리) 다른 사이트에서 온 javascript는 다른 사이트의 쿠키를 읽을 수없고 http 헤더를 통해 다시 보낼 수 없습니다. 서버가이 헤더를 통해이 쿠키의 값을 받으면 일부 javascript 우리 사이트의.(X/C) SRF-TOKEN 쿠키는 JSESSIONID 쿠키보다 어떻게 안전합니까?</p> <p>이 CSRF 쿠키가 한 번 기록 제공됩니다
기타 리소스
- 가 세션 ID 쿠키는 자바 스크립트에 의해 HTTP 사용자 정의 헤더에 다시 전송되지가 아닌 것 수 ...이 메커니즘은 안전을 위해 HTTPS를 계속 사용해야한다고 설명한다 동등하게 안전합니까? 대답 @Andreas
가능한 중복 물어 [왜 토큰 XSRF으로 세션 ID를 사용하지를?] (http://stackoverflow.com/questions/6968074/why-not-use-session- id-as-xsrf-token) – Andreas
javacript – charlietfl
을 사용하여 httpOnly 쿠키에 액세스 할 수 없습니다. 제공 한 링크의 질문과 play 프레임 워크가 명확하게 연결되어 있어도 고맙습니다. 내 질문에 프레임 워크 불가 지론으로 업데이 트되었습니다 ... – user1767316