0

ajax駆動型サイトがjavascript変数として保存された一意のトークンを使用し、CSRFを防ぐためにすべてのリクエストでそれを検証する場合、攻撃ベクトルを開きますか?サイトにXSSホールがない場合に限りますか?

4

1 に答える 1

1

攻撃に対して開かない。サイトに XSS ホールがない場合、別のページが JavaScript 変数からトークンを取得する方法はありません。

于 2010-07-23T14:54:31.020 に答える