问题描述
我和一位朋友就 CSRF 攻击和 JWT 争论不休。
我声称 JWT 本身不会保护您免受 CSRF 攻击,因为我可以发出跨站点 POST 请求,一旦浏览器继续发出请求,JWT cookie 将自动附加到请求和服务器会认为用户已通过验证。
我问他 CSRF POST 请求和 Postman POST 请求之间有什么区别,你可以欺骗标头,让服务器认为它的 Postman 或其他一些 HTTP 代理,因此请求会通过。
他声称我错了。
真相是什么?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)