5
我正在製作一個書籤,以便用戶可以使用來自任何頁面的CORS跨域發佈到我的服務器。用戶必須在發佈和使用cookie之前進行身份驗證。有什麼辦法可以防止惡意網站在他們的網頁中嵌入javascript代碼,以使用用戶的憑證進行跨域發佈到我的服務器?在使用CORS時防止CSRF?
我正在製作一個書籤,以便用戶可以使用來自任何頁面的CORS跨域發佈到我的服務器。用戶必須在發佈和使用cookie之前進行身份驗證。有什麼辦法可以防止惡意網站在他們的網頁中嵌入javascript代碼,以使用用戶的憑證進行跨域發佈到我的服務器?在使用CORS時防止CSRF?
理論上,可能有解決方案。
有一個缺陷這一概念:如果一個網站與任何由書籤(如Array()
)使用的功能篡改,惡意網站可能仍然能夠截取,複製和/或修改消息,用戶ID或CSRF令牌。
不,也許你可以考慮發佈到你的網站控制下的iframe,然後讓用戶在發佈之前確認()。或者你可以在每個用戶的小書籤中嵌入一個獨特的CSRF標記,然後......等等,我正在想一個主意...... – user2428118 2012-10-02 10:54:16