8
我目前正在將CSRF保護實施到我的框架(PHP)中。CSRF保護問題
但是我想知道:
豈不是可能的攻擊者載入我的網頁中(隱藏)IFRAME(獲得令牌),並使用JavaScript改變一些數據?
然後提交表單?
Q
CSRF保護問題
A
回答
11
除非攻擊者的頁面具有相同的域名,協議和端口爲你(如果是這樣,你可能有更嚴重的問題),他們將無法讀取,因爲Same Origin Policy的iframe的HTML。
相關問題
- 1. csrf保護
- 2. API CSRF保護
- 3. CSRF保護ExpressJS
- 4. csrf的保護
- 5. Phoenix和CSRF的CSRF保護
- 6. php csrf保護庫
- 7. Codeigniter AJAX CSRF保護
- 8. PEAR QuickForm2 CSRF保護
- 9. Spark Framework CSRF保護
- 10. CSRF保護與JavaScript?
- 11. Laravel工匠與csrf保護和認證問題
- 12. Tomcat中的CSRF保護
- 13. Django中的CSRF保護
- 14. CSRF保護如何工作?
- 15. Angular2和Laravel CSRF保護
- 16. Angular,Expressjs和Lusca csrf保護
- 17. 不需要CSRF保護?
- 18. reactjs/redux + django CSRF保護
- 19. Rest API中的CSRF保護
- 20. Tomcat中的CSRF保護7
- 21. Liferay的CSRF保護與@ResourceMapping
- 22. CSRF保護GET鏈接
- 23. 使用Symfony CSRF保護
- 24. Laravel路由和CSRF保護
- 25. CSRF保護和可用性
- 26. 笨CSRF保護錯誤:
- 27. IdentityServer4中的CSRF保護
- 28. Zend表格+ csrf保護
- 29. 軌,OAuth的,和CSRF保護
- 30. 春季安全CSRF保護
Ok kewl。我認爲同源政策只意味着我們無法提出要求。 – PeeHaa
@PeeHaa:這取決於上下文。使用iframe,這意味着除非域,端口和協議匹配,否則不能訪問iframe的DOM。 – alex