1

私はクロムのコンソールで遊んでいます。

ソース コードのテキスト バージョンには、次の方法でアクセスできることがわかりました。

document.scripts[2].outerText

(番号「2」は、メイン ソース コードの場所によって異なります)

その後、私がしなければならなかったのは:

temp = document.scripts[2].outerText;
temp.indexOf("csrf_token")

csrf_tokenを取得するためのその他のいくつかのこと

これは、xss を実行できる (または Web サイトでカスタム JS を実行できる) 場合、csrf トークンが失敗する可能性があることを意味しますか?

前もって感謝します:D

4

1 に答える 1

1

これは、xssを実行できる(またはWebサイトでカスタムJSを実行できる)場合、csrfトークンが失敗する可能性があることを意味しますか?

はい。攻撃者がXSSを実行できるセキュリティホールがある場合、CSRF保護を回避できます(他の多くの場合と同様)。

秘訣は、あらゆる種類の攻撃から身を守ることです。:)

于 2012-06-11T09:17:57.163 に答える