本页描述了解释CSRF攻击的用例(16.1)：

https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html

但是如果用户确实登录了银行的网站,那么恶魔网站是否有可能做出获取新的CSRF令牌的GET请求,并且在不需要用户的情况下制作POST？

答案必须是否定,否则CSRF令牌将毫无用处,但我不明白为什么？

最佳答案 答案是“不”,原因是同源政策.

SOP意味着来自evil.com的页面无法读取它可能发送给example.com的请求的任何响应.发送请求的最直接方式将被浏览器(SOP)阻止,但有许多解决方法.例如,evil.com可以发送

>通过嵌入< img>,< script>,< css>来获取请求并设置src =“http://example.com/path”(或< a href =“http://example.com/path”>).
>通过提交表单发布POST请求.

由于evil.com无法读取任何响应,因此无法读取CSRF令牌.