我从朋友那里听说,WWW-Authenticate
头可以在远程服务器上的恶意php文件中明确定义,并使用图像MIME类型,例如, image/jpeg
或image/png
。WWW-Authenticate Header CSRF问题
假设情况
说这个文件是malicious.com/image.php
我这个图像添加到我的论坛签名上一些任意的论坛。具体来说,gaiaonline.com
。当其他访问者通过我的帖子访问一个帖子时,他们将看到WWW-Authenticate
标题给出的登录提示。访问者/受害者输入用户名/密码后,黑客可以将其存储在远程服务器上,并通过电子邮件发送给自己等。
恶意代码:<img src="malicious.com/image.php" />
包含WWW-Authenticate
标题。可以通过标准发布/ BBcode输入。
这怎么解决? 我认为这个可以跨域访问。
我认为这比CSRF更多的钓鱼攻击。 – ThiefMaster 2011-05-20 23:25:38
@ThiefMaster我认为浏览器应该自己处理这个问题;否则,应该有一种方法来禁止基于域的标题。如果这些选项都不可用,这是否会成为互联网的致命缺陷? – 2011-05-20 23:28:10