Kopal Connectと呼ばれるソーシャル ネットワーキング プロトコルがあります。この方法は問題でしょうか、友達リクエストはこのようなものhttp://alice.example.net/profile/?kopal.connect=true&kopal.subject=friendship-request&kopal.identity=http://bob.example.org/profile/で、私が知る限り、悪意のある Web サイトにアクセスしたときに、埋め込み画像または iframe を使用して自分の名前を要求される可能性があります。
質問する
46 次
1 に答える
1
kopal connect フレンド リクエストのサンプル ドキュメントに基づいています。このリクエストはおそらくクロスサイト リクエスト フォージェリに対して脆弱であると言えます。ただし、影響は小さく、アリスはまだフレンドシップ リクエストを承認する必要があるため、ユーザーにとっては煩わしいものです。この CSRF 攻撃を実行するには、依然としてfriendship keyAlice が必要であり、プロセスのこのステップを自動化するのは難しいかもしれません。
于 2012-07-31T16:59:34.020 に答える