解决方案
为什么不浏览器发送曲奇饼吗?
网站(http://www.sitea.com)设置一个饼干用户。
用户浏览的网站B(http://www.siteb.com).站点B设合用的网站击在这里做什么网站!用户的点击"这里"。
尽浏览器就可以告诉,向用户制作一个有意识的决定提出请求的网站,所以它处理它的相同方式处理任何请求的网站,包括发送站的一个饼干请求A.网站
编辑:我认为这里的主要问题是,你认为之间是有区别的认证饼干和其他饼干。饼干可以用于存储的任何用户喜好,你的最后一个高分,或者一届会议的标记。浏览器中已没有什么想法,每个小甜饼是用。我 想 我的饼干总是用于网站设置他们,和我想的网站,以确保它采取必要的预防措施。
或者是你说如果你搜索雅虎"gmail",然后点击的链接你 http://mail.google.com, 你不应该登录, 即使你告诉繁忙让你登录在, 因为你点击的链接,从另一个网站?
其他提示
它不是一个浏览器发送饼干给或从外部域,这是事实,你在进行身份验证和网站不是验证的源的请求,因此,它把它为如果请求来自该网站。
尽浏览器是否应该禁止的是...什么有关的许多情况下,跨站的请求是希望?
编辑:到是清楚的,你的饼干是不是发送的横跨领域。
我不知道,有多少浏览器能做这种情况由于这一点的一个XSRF攻击是直接浏览器到另一个点,在应用程序,将执行一件坏事。不幸的是,浏览器也不知道是否该请求,它正在引发恶意的或没有。例如,给定的典型例子XSRF:
<img src="http://domain.com/do_something_bad" />
这不是显而易见的浏览器这坏事发生。毕竟,它是如何知道之间的差别,和这样的:
<img src="http://domain.com/show_picture_if_authenticated" />
一个很大的老协议有很大的安全漏洞--回想最近发现的 DNS漏洞.就像基本上的任何网络安全,它的责任的终点;是的,它吸,我们就必须解决这个问题我们自己,但它是一个更难以解决在浏览器的水平。有一些明显的(<img src="logoff.php"> 看起来该死的鱼腥味,对吗?), 但总会有边缘的情况。(也许这是一个GD脚本PHP文件之后。) 什么关于阿贾克斯的查询?等等...
饼干一场永远不会发送到另一个网站。事实上,实行一个成功的,比如以你的攻击,攻击者不需要有进入这些饼干。
基本上,攻击者技巧的用户,是已经记录到的目标网站,点击链接或装载的一个图像,就会做一些对的目标网站与该用户的凭据。
即, 用户正在执行的行动,攻击者已经欺骗用户这样做。
有些人说,他们不认为这是一个很大的浏览器就可以做。
看看这个:
http://people.mozilla.org/~bsterne/content-security-policy/origin-header-proposal.html
它概述的提议为一个新HTTP头,以帮助减轻比如以你攻击。
拟议的头名称是"来源",它基本上是"Referer"header减去路,等等。