密码安全与会话安全( 五 )
最近在思考一个问题 , 就是如果黑客同时发起XSS攻击和CSRF攻击 , 这种方式是不是也失效了?黑客通过XSS攻击 , 获取到了CSRFtoken , 攻击人立马发送钓鱼邮件给目标用户 , 目标用户点击了链接 , 网站打开时 , 先从黑客处获取CSRFToken , 并携带CSRFToken发起了CSRF攻击 , 还有个前提是浏览器版本太低没有Referer , 那不就可以攻击成功了?(我杞人忧天了吗?)cookie+session有这么多安全需要考虑 , 那不要cookie+session不就没这么多问题吗?现在流行的jwt就可以做到无session的登录认证 , 但jwt也有各种各样的安全问题 。
下回再聊jwt与单点登录中的安全 。
文/Thoughtworks章宾
原文链接:https://insights.thoughtworks.cn/password-session-security/
【密码安全与会话安全】更多精彩洞见 , 请关注微信公众号:Thoughtworks洞见
- 厨房|刀可切菜灶可加热 儿童厨房玩具安全不能忽视
- 安全测试之渗透测试
- 小米|小米12S系列官宣7月4日正式发布:小米与徕卡联合研发
- 新书推荐 │ 大数据算法设计与分析
- 最前线 | 腾讯游戏发布40余款产品与项目,《王者荣耀》发布全新规划
- 为了证明人类可与黑猩猩结合,女科学家亲身试验,结果怎么样?
- 腾讯游戏发布40余款产品与项目,《王者荣耀》发布全新规划
- 宇宙大爆炸与理解生命起源和进化有什么关联?
- 湖北|巅峰摩擦?i9 12950HX与R9 6900HX专业应用差距有多大?
- FL Studio水果Cubase与Studio one三款编曲混音软件对比
