저는 현재 CSRF에 대해 더 많이 배우고 있으며 쿠키에 대한 기본적인 질문이 있습니다. Jeff Atwood's article on CSRF에서 :. POST 요청이 사이트로 전송 될 때기본 쿠키 및 CSRF 질문
는"요청은 양식 값과 쿠키 값이 공격자가 양식을 제출하면 동일한 경우 이 유효한 것으로 간주해야한다 사용자를 대신하여, 그는 단지 의 값을 양식을 수정할 수 있습니다. 공격자가 서버로부터 전송 된 데이터를 읽거나 동일 출처 당, 정책을 쿠키 값을 수정할 수 없습니다.이 의미 있다는 공격자가 할 수있는 동안 그가 원하는 모든 가치를 와 함께 보내면 그는 될 것입니다. 수 없습니다 수정하거나 쿠키에 저장된 값을 읽으십시오. "
쿠키 a piece of text stored on a users computer 경우, 어떻게 쿠키의 값을 읽기/수정할 수 없습니다?
쿠키의 가치를 알고 있고 양식에 숨겨진 의사 랜덤 값을 볼 수 있다면 공격을 수행하는 데 필요한 모든 것이 없습니까?
덕분에,
그들은 페이지의 소스를보고 숨겨진 양식 값을 얻을 수 있습니다. 이해가 안됩니다. – barfoon
예, CSRF와는 상당히 다른 공격 벡터입니다. 이는 단순히 역주로 과 같은 URL을 요청합니다 (또는 중간 요청을 사용하여 POST 요청을 구성합니다). OWASP 페이지에서 CSRF에 대해 자세히 설명합니다. https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet –