攻撃者が XSS を使用してサイトに悪意のあるコンテンツを送信するのを防ぐためにトークンを使用する方法についてすべて読みました。私の質問は、サイトから保護されたコンテンツを取得することに関するものです。
たとえば、ユーザーの以前の注文をすべて一覧表示するマイ アカウント ページを備えた e コマース サイトがあります。攻撃者がユーザーをサード パーティのサイトに誘導し、ユーザーになりすましてスクリプトまたは何かを開始する可能性はありますか?私たちから情報を取得しますか?
質問する
41 次
2 に答える
1
はい、可能です。あなたのサイトの XSS バグを悪用して、誰かがあなたのページに JavaScript コードを挿入できる場合、ユーザーのすべての情報を取得するためのコードを書くことができます。または、誰かがあなたのネットワーク (またはユーザーのネットワーク) を詮索した場合、ユーザーのセッション Cookie を取得する可能性があります。
.NET ランドをHtml.AntiForgeryToken()使用している場合は、自分自身を保護するためにチェックアウトし、すべてに HTTPS を使用してください。
于 2013-09-11T04:28:38.630 に答える
0
追加情報を提供してくれた LachlanB に感謝します。さらなる調査の結果、最新のブラウザーのほとんどが同じオリジン ポリシーを適用しているため、この非常に特殊なケースについてあまり心配する必要はないようです。
「コンピューティングでは、同一生成元ポリシーは、JavaScript などの多くのブラウザー側プログラミング言語にとって重要なセキュリティ概念です。このポリシーは、同じサイト (スキーム、ホスト名、およびポートの組み合わせ) から生成されたページでスクリプトを実行することを許可します。 number[1] – 特定の制限なしに互いのメソッドとプロパティにアクセスしますが、異なるサイトのページにまたがるほとんどのメソッドとプロパティへのアクセスを防ぎます.[1] 同一生成元ポリシーは XMLHttpRequest と robots.txt にも適用されます.[2 ]」ウィキペディア
于 2013-09-16T01:54:54.227 に答える