由于浏览器会阻止访问其他站点的 cookie，因此单独使用访问令牌是否可以防止 CSRF 攻击？

Question

我是网络安全新手，当我了解 CSRF 时，我有一个非常简单的问题：

假设我们有这样的场景：

1. 在网络浏览器上，我访问一个普通网站（称为网站 A）并使用凭据登录。

2. 我通过身份验证后，网站 A 会发出一个访问令牌供我的浏览器存储。当我使用网站 A 时，我发出的任何后续 http 请求都会发送到 api 端点，并且身份验证令牌会附加到请求中。

3. 现在我访问了一个邪恶的网站。当恶意网站的 html / javascript 前端代码在浏览器中加载时，它会诱使我向网站 A 的 api 端点发出 HTTP 请求。

但是，由于不同来源的资源（DOM、本地存储、cookie）被隔离在在浏览器中，邪恶站点的前端代码无法访问网站 A 的访问令牌。因此，向网站 A 的 api 端点发起的 HTTP 请求将不包含访问令牌。请求不会成功。

在我看来，单独使用身份验证令牌就可以防止 CSRF，只要不同来源的 cookie 被隔离并且无法跨源访问，这在现代网络浏览器中是相当明确的。
一个网站的前端代码绝对不可能在浏览器中获取另一个网站的 cookie/DOM/存储。

为什么有那么多其他的技术来防止 CSRF？

Answer 1

问题是cookie。如果令牌存储在 cookie 中，它将与请求一起发送给受害者，无论请求是从哪里发送的。这意味着即使发送请求的站点是attacker.com，令牌cookie也会发送到victim.com。

现在有一个新的 cookie 属性 SameSite 可以防止这种情况发生，其目的就是缓解 CSRF，而且还有更传统的方法来确保请求是在合法的应用程序源上发出的（例如同步器令牌、双重提交等）。

另请注意，如果令牌不是作为 cookie 发送（而是在请求标头或仅在请求正文中），则通常不需要进一步的保护。不过，可能存在特殊的边缘情况，其他形式的身份验证会自动发送凭据，例如 http 基本身份验证或客户端证书，但这些身份验证很少在正常的 Web 应用程序中用于人类交互。