8
我目前正在将CSRF保护实施到我的框架(PHP)中。CSRF保护问题
但是我想知道:
岂不是可能的攻击者载入我的网页中(隐藏)IFRAME(获得令牌),并使用JavaScript改变一些数据?
然后提交表单?
我目前正在将CSRF保护实施到我的框架(PHP)中。CSRF保护问题
但是我想知道:
岂不是可能的攻击者载入我的网页中(隐藏)IFRAME(获得令牌),并使用JavaScript改变一些数据?
然后提交表单?
除非攻击者的页面具有相同的域名,协议和端口为你(如果是这样,你可能有更严重的问题),他们将无法读取,因为Same Origin Policy的iframe
的HTML。
Ok kewl。我认为同源政策只意味着我们无法提出要求。 – PeeHaa
@PeeHaa:这取决于上下文。使用iframe,这意味着除非域,端口和协议匹配,否则不能访问iframe的DOM。 – alex