JWT是在cookie中发送的，但当我尝试使用CSRF时，它们不会被发送。

Question

我正在测试这个在cookie中发送JWT和CSRF令牌的应用程序，我创建了一个PoC文件来测试CSRF，但是只在PoC请求中发送CSRF令牌，而不是JWT。

我的印象是，cookies总是在所有请求中发送，而不管发送这些请求的域是什么，这就是CSRF攻击可能发生的原因。

为什么在CSRF PoC请求中没有发送JWT？

Answer 1

可能cookies被标记为SameSite，或者您使用的浏览器具有SameSite作为默认行为。

Answer 2

Cookie是cookie，存储在其中的值没有区别。这只是一根绳子。您必须检查所有cookie属性，如:域、路径、标志。

根据我的经验，我首先要找的是安全旗。通常，当开发人员在本地主机上测试某些特性时，他们忘记将HTTPS与localhost一起使用(我不建议设置secure=false，因为开发人员有时会忘记这类事情，这通常可以复制到生产环境中)。

第二个标志是SameSite，默认设置为"self“，如果跨站点请求中使用cookie，它将消失。