如果有人可以帮助我了解自定义HTTP授权标头如何帮助保护CSRF攻击。
也请纠正我,如果我错了,是否也可以防止使用提琴手进行重放攻击?
谢谢您的帮助
[当基于Cookie进行身份验证时,来自客户端的每个触发请求都将得到身份验证。是CSRF攻击的结果是“好”(是应用程序预期的结果,还是“坏”的结果。浏览器将始终blindly向每个请求添加cookie。例如,当身份验证基于附加到承载令牌的信息时)客户端具有“ Authenticate”标头,可以决定在哪种情况下发送经过身份验证的请求以及在哪种情况下保持匿名。
但是,这并不意味着您无法使用Fiddler之类的工具来拦截请求,无法从HTTP标头中获取令牌并从同一工具执行经过身份验证的请求。