不比如以你的浏览器安全问题吗？

Question

关于交叉网站的请求伪造(比如以你的)的攻击，如果饼干是最常用的认证方法，为什么网络浏览器发送饼干的一些领域(和对这一领域)从一个页面产生的另一个领域？

不比如以你很容易预防的，在浏览器由不允许这样的行为？

据我所知，这种安全检查是不是实现在网浏览器，但我不明白为什么。我弄错了什么？

关于比如以你:

• 在维基百科
• 在编码恐怖

编辑：我认为，饼干应该不会发送关于http POST在上述情况。这就是浏览器的行为，惊喜我。

Answer 1

为什么不浏览器发送曲奇饼吗？

网站(http://www.sitea.com)设置一个饼干用户。

用户浏览的网站B(http://www.siteb.com).站点B设合用的网站击在这里做什么网站!用户的点击"这里"。

尽浏览器就可以告诉，向用户制作一个有意识的决定提出请求的网站，所以它处理它的相同方式处理任何请求的网站，包括发送站的一个饼干请求A.网站

---

编辑:我认为这里的主要问题是，你认为之间是有区别的认证饼干和其他饼干。饼干可以用于存储的任何用户喜好，你的最后一个高分，或者一届会议的标记。浏览器中已没有什么想法，每个小甜饼是用。我 想 我的饼干总是用于网站设置他们，和我想的网站，以确保它采取必要的预防措施。

或者是你说如果你搜索雅虎"gmail"，然后点击的链接你 http://mail.google.com, 你不应该登录， 即使你告诉繁忙让你登录在, 因为你点击的链接，从另一个网站?

Answer 2

它不是一个浏览器发送饼干给或从外部域，这是事实，你在进行身份验证和网站不是验证的源的请求，因此，它把它为如果请求来自该网站。

尽浏览器是否应该禁止的是...什么有关的许多情况下，跨站的请求是希望?

编辑：到是清楚的，你的饼干是不是发送的横跨领域。

Answer 3

我不知道，有多少浏览器能做这种情况由于这一点的一个XSRF攻击是直接浏览器到另一个点，在应用程序，将执行一件坏事。不幸的是，浏览器也不知道是否该请求，它正在引发恶意的或没有。例如，给定的典型例子XSRF:

<img src="http://domain.com/do_something_bad" />

这不是显而易见的浏览器这坏事发生。毕竟，它是如何知道之间的差别，和这样的：

<img src="http://domain.com/show_picture_if_authenticated" />

Answer 4

一个很大的老协议有很大的安全漏洞--回想最近发现的 DNS漏洞.就像基本上的任何网络安全，它的责任的终点；是的，它吸，我们就必须解决这个问题我们自己，但它是一个更难以解决在浏览器的水平。有一些明显的(<img src="logoff.php"> 看起来该死的鱼腥味,对吗?), 但总会有边缘的情况。(也许这是一个GD脚本PHP文件之后。) 什么关于阿贾克斯的查询?等等...

Answer 5

饼干一场永远不会发送到另一个网站。事实上，实行一个成功的，比如以你的攻击，攻击者不需要有进入这些饼干。

基本上，攻击者技巧的用户，是已经记录到的目标网站，点击链接或装载的一个图像，就会做一些对的目标网站与该用户的凭据。

即， 用户正在执行的行动，攻击者已经欺骗用户这样做。

Answer 6

有些人说，他们不认为这是一个很大的浏览器就可以做。

看看这个：

http://people.mozilla.org/~bsterne/content-security-policy/origin-header-proposal.html

它概述的提议为一个新HTTP头，以帮助减轻比如以你攻击。

拟议的头名称是"来源"，它基本上是"Referer"header减去路，等等。