現在、フレームワーク (PHP) に CSRF 保護を実装中です。
しかし、私は疑問に思っています:
攻撃者が (非表示の) iframe にページを読み込み (トークンを取得)、JavaScript を使用して一部のデータを変更することはできませんか?
その後、フォームを送信しますか?
1 に答える
11
攻撃者のページがあなたのものと同じドメイン、プロトコル、およびポートを持っていない限り (同じ場合、おそらくより深刻な問題が発生します)、Same Origin Policyiframeにより、攻撃者は HTMLを読み取ることができません。
于 2011-07-17T14:09:21.637 に答える