8
我目前正在将CSRF保护实施到我的框架(PHP)中。CSRF保护问题
但是我想知道:
岂不是可能的攻击者载入我的网页中(隐藏)IFRAME(获得令牌),并使用JavaScript改变一些数据?
然后提交表单?
Q
CSRF保护问题
A
回答
11
除非攻击者的页面具有相同的域名,协议和端口为你(如果是这样,你可能有更严重的问题),他们将无法读取,因为Same Origin Policy的iframe的HTML。
相关问题
- 1. csrf保护
- 2. API CSRF保护
- 3. CSRF保护ExpressJS
- 4. csrf的保护
- 5. Phoenix和CSRF的CSRF保护
- 6. php csrf保护库
- 7. Codeigniter AJAX CSRF保护
- 8. PEAR QuickForm2 CSRF保护
- 9. Spark Framework CSRF保护
- 10. CSRF保护与JavaScript?
- 11. Laravel工匠与csrf保护和认证问题
- 12. Tomcat中的CSRF保护
- 13. Django中的CSRF保护
- 14. CSRF保护如何工作?
- 15. Angular2和Laravel CSRF保护
- 16. Angular,Expressjs和Lusca csrf保护
- 17. 不需要CSRF保护?
- 18. reactjs/redux + django CSRF保护
- 19. Rest API中的CSRF保护
- 20. Tomcat中的CSRF保护7
- 21. Liferay的CSRF保护与@ResourceMapping
- 22. CSRF保护GET链接
- 23. 使用Symfony CSRF保护
- 24. Laravel路由和CSRF保护
- 25. CSRF保护和可用性
- 26. 笨CSRF保护错误:
- 27. IdentityServer4中的CSRF保护
- 28. Zend表格+ csrf保护
- 29. 轨,OAuth的,和CSRF保护
- 30. 春季安全CSRF保护
Ok kewl。我认为同源政策只意味着我们无法提出要求。 – PeeHaa
@PeeHaa:这取决于上下文。使用iframe,这意味着除非域,端口和协议匹配,否则不能访问iframe的DOM。 – alex