密码安全与会话安全( 五 )


最近在思考一个问题 , 就是如果黑客同时发起XSS攻击和CSRF攻击 , 这种方式是不是也失效了?黑客通过XSS攻击 , 获取到了CSRFtoken , 攻击人立马发送钓鱼邮件给目标用户 , 目标用户点击了链接 , 网站打开时 , 先从黑客处获取CSRFToken , 并携带CSRFToken发起了CSRF攻击 , 还有个前提是浏览器版本太低没有Referer , 那不就可以攻击成功了?(我杞人忧天了吗?)cookie+session有这么多安全需要考虑 , 那不要cookie+session不就没这么多问题吗?现在流行的jwt就可以做到无session的登录认证 , 但jwt也有各种各样的安全问题 。
下回再聊jwt与单点登录中的安全 。
文/Thoughtworks章宾
原文链接:https://insights.thoughtworks.cn/password-session-security/
密码安全与会话安全】更多精彩洞见 , 请关注微信公众号:Thoughtworks洞见