最近在思考一个问题 ， 就是如果黑客同时发起XSS攻击和CSRF攻击 ， 这种方式是不是也失效了？黑客通过XSS攻击 ， 获取到了CSRFtoken ， 攻击人立马发送钓鱼邮件给目标用户 ， 目标用户点击了链接 ， 网站打开时 ， 先从黑客处获取CSRFToken ， 并携带CSRFToken发起了CSRF攻击 ， 还有个前提是浏览器版本太低没有Referer ， 那不就可以攻击成功了？（我杞人忧天了吗？）cookie+session有这么多安全需要考虑 ， 那不要cookie+session不就没这么多问题吗?现在流行的jwt就可以做到无session的登录认证 ， 但jwt也有各种各样的安全问题 。
下回再聊jwt与单点登录中的安全 。
文/Thoughtworks章宾
原文链接：https://insights.thoughtworks.cn/password-session-security/
【密码安全与会话安全】更多精彩洞见 ， 请关注微信公众号：Thoughtworks洞见

• 副董事长|京东方A董秘回复：公司与全球数千家供应商保持着良好的合作关系
• 微信|个人收款码与商业收款码有什么不一样
• iqoo|iQOO Z5x兼备长续航与优质好屏，无压力畅玩游戏
• 任正非|任正非与孟晚舟的姓氏为什么不一样？
• 蓝思科技|苹果与34家中国供应商断绝合作，央视呼吁：尽快摆脱对苹果依赖
• 小米 11 Ultra 内测 NFC“读写勿扰”与“解锁后使用”功能
• 李现与eStar队员合影并晒签名队服 称“感谢冠军战队的礼物”
• 积分|“硬派越野”是新流量密码？
• 文和友|泡泡玛特与飞书达成合作 新消费代表企业加速迁移飞书
• 显示器|年货节联合回馈，华硕显示器与雷孜推出超值创艺套装！