密码安全与会话安全( 五 )
最近在思考一个问题 , 就是如果黑客同时发起XSS攻击和CSRF攻击 , 这种方式是不是也失效了?黑客通过XSS攻击 , 获取到了CSRFtoken , 攻击人立马发送钓鱼邮件给目标用户 , 目标用户点击了链接 , 网站打开时 , 先从黑客处获取CSRFToken , 并携带CSRFToken发起了CSRF攻击 , 还有个前提是浏览器版本太低没有Referer , 那不就可以攻击成功了?(我杞人忧天了吗?)cookie+session有这么多安全需要考虑 , 那不要cookie+session不就没这么多问题吗?现在流行的jwt就可以做到无session的登录认证 , 但jwt也有各种各样的安全问题 。
下回再聊jwt与单点登录中的安全 。
文/Thoughtworks章宾
原文链接:https://insights.thoughtworks.cn/password-session-security/
【密码安全与会话安全】更多精彩洞见 , 请关注微信公众号:Thoughtworks洞见
- 副董事长|京东方A董秘回复:公司与全球数千家供应商保持着良好的合作关系
- 微信|个人收款码与商业收款码有什么不一样
- iqoo|iQOO Z5x兼备长续航与优质好屏,无压力畅玩游戏
- 任正非|任正非与孟晚舟的姓氏为什么不一样?
- 蓝思科技|苹果与34家中国供应商断绝合作,央视呼吁:尽快摆脱对苹果依赖
- 小米 11 Ultra 内测 NFC“读写勿扰”与“解锁后使用”功能
- 李现与eStar队员合影并晒签名队服 称“感谢冠军战队的礼物”
- 积分|“硬派越野”是新流量密码?
- 文和友|泡泡玛特与飞书达成合作 新消费代表企业加速迁移飞书
- 显示器|年货节联合回馈,华硕显示器与雷孜推出超值创艺套装!