javascript - CSRF攻撃には、ターゲットサイトのjavascript変数にアクセスまたは操作する直接的な方法がありますか？

Question

ajax駆動型サイトがjavascript変数として保存された一意のトークンを使用し、CSRFを防ぐためにすべてのリクエストでそれを検証する場合、攻撃ベクトルを開きますか？サイトにXSSホールがない場合に限りますか？

Answer 1

攻撃に対して開かない。サイトに XSS ホールがない場合、別のページが JavaScript 変数からトークンを取得する方法はありません。