我从编程到“网络编程”迁移,所以这可能听起来太基本关于CSRF的一个基本问题攻击
我的问题是关于由“受害网站”与一些“非响应HTTP请求公开/敏感“信息,如HTML或XML或JSON。
受害者网站只是依靠会话cookie进行身份验证,然后以http请求的“非公开”信息回复。
如果黑客的网站有一个JS让ajax HTTP请求到“受害者站点”,并且用户已经登录到“受害者站点”并因此在浏览器中为受害者站点拥有cookie。
ajax请求是否会被“受害者服务器”响应,如果是这样,黑客JS会将这个“非公开”信息发回给黑客网站。
如何防止这种情况?
非常感谢... – Tiwari 2011-01-21 11:42:38