CSRF 可以在没有 Cookie 的情况下实现吗？

Question

我对此进行了一段时间的研究，但没有找到任何东西可以满足我的好奇心。如果禁用 cookie，作为用户是否有可能成为 CSRF 攻击的受害者。显然，CSRF 依赖于用户浏览器将用户的凭据和伪造的请求发送到合法服务器。除了 IP 地址之外，浏览器不会自动发送任何其他会话值，不是吗？在这种情况下，只要用户可以在禁用 cookie 的情况下登录，即使在易受攻击的网站上，他们也能免受 CSRF 的攻击。

Answer 1

浏览器还支持其他形式的身份验证，特别是 HTTP Basic 和 HTTP Digest，以及 SSL/TLS 客户端证书。不幸的是，使用这些机制时“注销”的界面通常相当差。与 cookie 和表单不同，停止使用凭据是由浏览器控制的（而不是由服务器及其 cookie 控制），但按钮通常最多位于某些高级菜单中（如果它们存在的话）。

Answer 2

因此，您必须问自己服务器如何区分一个客户端和另一个客户端？在大多数情况下，它是会话 cookie，但也有其他方式。

考虑一个管理应用程序，它被配置为仅在从本地主机访问时才工作。此处，服务器信任浏览器的 IP 地址。现在，如果攻击者创建一个类似 的页面，并以某种方式让管理员访问他的页面，那么您就拥有了一个 CSRF。

正如布鲁诺已经指出的那样，其他示例包括滥用 Http 基本身份验证和摘要身份验证。