0
一個Web應用程序具有刪除按鈕。一旦點擊該Web應用程序首先執行GET請求,它將使用令牌密鑰返回POST表單。 詢問是或否,資源被刪除。CSRF攻擊 - 同一頁上的GET和POST請求
我如何才能實現CSRF攻擊?我可以提交隱藏在iframe中的第一個請求,但我需要該令牌來提交第二個POST請求。
Ajax由於CORS而失敗。
那麼,它甚至有可能在一個頁面
- 發送GET請求
- 解析響應,並得到令牌
- 提交POST形式令牌觸發CSRF上
GET之後,客戶端沒有發送任何內容,但響應中包含服務器生成的不服從X-CSRF頭的令牌。我需要抓住並重新發送。我們需要抓住第一個GET的源頭並找到令牌 – ahelpyguy