如果需要请纠正我 .
我对csrf的理解是,当向服务器A发出请求时,服务器A通过响应头向响应发送一个令牌 . 在前端的下一个请求中,它需要此令牌 . 如果发现此令牌不相同,则拒绝该请求 . 因此,如果某个其他欺诈性网站可能在同一浏览器上打开,则会向服务器A发出请求,因为欺诈性网站无法从服务器A读取响应,因此无法将预期的令牌发送到服务器A.服务器阻止CSRF .
在Oauth JWT和CSRF中,接收令牌-JWT或CRSF的前端必须在下一个请求头中发回令牌 .
当Oauth与JWT一起使用时,令牌是自我验证的 . 再次,如果JWT令牌没有保存在cookie中,只能通过serverA前往前端作为响应,可能是一个头(不在cookie头中),因为欺诈性网站无法读取JWT令牌 - 这并不意味着使用使用JWT的Oauth消除了对显式CSRF检查的需要 . 这也更好,因为如果使用JWT方式,服务器不需要记住令牌以进行匹配 .
在上面的讨论中,我们假设没有进行CORS检查只是为了限制问题的答案 .
你怎么看?
[R