2011-07-17 93 views
8

我目前正在将CSRF保护实施到我的框架(PHP)中。CSRF保护问题

但是我想知道:

岂不是可能的攻击者载入我的网页中(隐藏)IFRAME(获得令牌),并使用JavaScript改变一些数据?

然后提交表单?

回答

11

除非攻击者的页面具有相同的域名,协议和端口为你(如果是这样,你可能有更严重的问题),他们将无法读取,因为Same Origin Policyiframe的HTML。

+0

Ok kewl。我认为同源政策只意味着我们无法提出要求。 – PeeHaa

+0

@PeeHaa:这取决于上下文。使用iframe,这意味着除非域,端口和协议匹配,否则不能访问iframe的DOM。 – alex