CSRF不是浏览器安全问题吗？

关于跨站点请求伪造(CSRF)攻击,如果cookie是最常用的身份验证方法,为什么Web浏览器允许从另一个域生成的页面发送某个域(以及该域)的cookie？

通过禁止这种行为,是否可以在浏览器中轻松预防CSRF？

据我所知,这种安全检查没有在Web浏览器中实现,但我不明白为什么.我弄错了吗？

关于CSRF:

在维基百科上

关于编码恐怖

编辑:我认为在上述情况下不应该在http POST上发送cookie.这是令我惊讶的浏览器行为.

为什么浏览器不发送cookie？

站点A(http://www.sitea.com)为用户设置cookie.

用户导航到站点B(http://www.siteb.com).站点B与站点A集成 - 点击此处在站点A上执行某些操作!用户点击"这里".

就浏览器而言,用户有意识地决定向站点A发出请求,因此它处理它的方式与处理对站点A的任何请求的方式相同,并且包括在请求中发送站点A cookie.网站A.

编辑:我认为这里的主要问题是您认为身份验证Cookie和其他Cookie之间存在区别.Cookie可用于存储任何内容 - 用户首选项,最后一个高分或会话令牌.浏览器不知道每个cookie的用途.我希望我的cookie始终可用于设置它们的网站,我希望该网站确保它采取必要的预防措施.

或者你是说如果你搜索雅虎的"gmail",然后点击链接带你到http://mail.google.com,你不应该登录,即使你告诉gmail让你登录,因为您点击了其他网站的链接？