1
假設我們有一個在表單中使用CSRF令牌的網站。Chrome擴展和CSRF無敵
現在我們有一個瀏覽器/ chrome擴展(css,js,html),它使用隱藏在輸入中的CSRF來執行發佈請求並更改應用程序的狀態。
如何防止這種攻擊?或者我錯過了什麼?
A
回答
6
在其他網站上運行的隨機JavaScript和擴展腳本之間的區別在於,前者是不可信的,而後者是可信的。
擴展插件代表用戶,用戶可以訪問這些信息(他們可以檢查DOM),擴展插件也是如此。
CSRF令牌僅用於防禦來自不受信任來源的請求。
相關問題
- 1. Django CSRF保護移動應用程序和Chrome擴展
- 2. Chrome擴展和mysql
- 3. JQuery和Chrome擴展
- 4. 無法安裝Chrome擴展
- 5. window.location.href無法在Chrome擴展
- 6. Chrome擴展安裝無聲
- 7. Chrome擴展圖標://擴展/
- 8. Chrome擴展和JQuery入門
- 9. 連接MySQL和Chrome擴展?
- 10. CSRF使用播放框架作爲Chrome擴展
- 11. 在Chrome擴展
- 12. Chrome擴展changeInfo.status
- 13. 在Chrome擴展
- 14. Chrome擴展OnMessage
- 15. Chrome擴展
- 16. Chrome擴展,從
- 17. 用Chrome擴展
- 18. 在Chrome擴展
- 19. Chrome擴展 - 爲
- 20. Chrome擴展:Chrome關閉
- 21. 鉻擴展在URL中執行擴展後無效chrome://
- 22. 重定向到Chrome擴展頁面現在變成了Chrome擴展://無效
- 23. Chrome擴展使鼠標點擊擴展
- 24. 帶擴展卡的Chrome擴展通知
- 25. 將Chrome擴展轉換爲Opera擴展
- 26. Chrome擴展 - 擴展對設置頁
- 27. 調試Chrome擴展
- 28. Chrome擴展回撥
- 29. Chrome擴展程序
- 30. Chrome擴展腳本
如果你有一個瀏覽器擴展允許訪問你打開的頁面,你已經失去了。防止它的方法不是安裝這樣的擴展。 :) – biziclop