哪些请求会携带cookie？解析CSRF攻击的触发条件

背景是这样的：

同事问我：CSRF攻击是什么？是不是要先获取cookie才能发起攻击？

我说：不用的，CSRF是利用浏览器的同源策略，是在用户登录后网站A后，再访问攻击网站B，然后网站B发起网站A的请求。

......

所以，还是再讲讲CSRF的原理，以及cookie（登录态）是否会被带上的问题吧。

首先，CSRF是不用获取用户的cookie（登录态）。

 

那为什么还能在攻击网站B发起网站A的接口请求呢？

 

主要是利用了浏览器的同源策略。

也就是在同源策略下（协议、域名和端口都一样）发起的请求，都会携带该网站的cookie（登录态），从而发起CSRF攻击。

 

但事情往往不是那么简单（没那么简单就能发起CSRF攻击）。

......

 

详情：哪些请求会携带cookie？解析CSRF攻击的触发条件