1
是否可以通過點擊劫持漏洞執行CSRF?CSRJ通過ClickJacking
假設我的網站完全免受csrf攻擊,但沒有XFO,那麼是否有任何方式通過點擊劫持漏洞利用CSRF?
我聽說xmlhttprequest可以用來執行csrf,如果沒有XFO但有csrf保護,那麼有什麼想法?
A
回答
0
是的,如果沒有X-Frame-Options響應頭存在,攻擊者可以框架您的網頁,使之透明,所以當受害人嘗試點擊攻擊者的網站上的按鈕(例如Click here to win an iPad)他們INFACT與網頁互動(例如Click here to Initiate Bank Transfer)。
這依賴於受害者已經通過目標站點的身份驗證,並且還依賴於該站點上可用的單擊操作。如果填寫的表格不能通過使用參數預先填寫,那麼在不欺騙受害者完成這些操作的情況下,這種特殊攻擊是不可能的。這使得clickjacking無參數形式的風險更大,或者只使用隱藏的輸入或JavaScript變量。
有關更多信息,請參閱OWASP的頁面Clickjacking和Testing for Clickjacking。
相關問題
- 1. Clickjacking如何通過外行傳播?
- 2. 如何通過ASP.NET c#中的Clickjacking阻止我們的網站?
- 3. ClickJacking過濾器添加X-FRAME-OPTIONS作爲迴應
- 4. x-frame-option SAMEORIGIN和ASP.NET中的clickjacking
- 5. 如何在.htaccess文件中添加「X-Frame-Options」標頭以防止'ClickJacking'攻擊
- 6. rails has_many:通過has_many:通過
- 7. 通過塊引用通過
- 8. 通過AJAX通過javascript
- 9. 只能通過通過ssh
- 10. 通過RDP通過IPv6的
- 11. 通過過濾
- 12. 通過過濾
- 13. 通過過濾
- 14. 過濾通過
- 15. 通過XML在Flash中通過Youtube.com調用視頻通過XML
- 16. 通過soapui通過soapui處理XML但不通過PHP的SOAP
- 17. 如何定義has_many通過通過軌道關聯通過
- 18. 通過RS485通信
- 19. 通過USB通信
- 20. 通過通配符
- 21. 通過
- 22. 通過
- 23. 通過
- 24. 通過
- 25. 通過
- 26. 通過
- 27. 通過
- 28. 通過
- 29. 通過!==
- 30. 通過
是的,你是對的!但是,您能否告訴我如何使用XMLHttpRequest執行CSRF? – user3554440
通常這是不可能的,因爲標題被添加到無法跨域傳送的請求中。 Csrf通常通過自動化表單發佈。 – SilverlightFox