5
我正在制作一个书签,以便用户可以使用来自任何页面的CORS跨域发布到我的服务器。用户必须在发布和使用cookie之前进行身份验证。有什么办法可以防止恶意网站在他们的网页中嵌入javascript代码,以使用用户的凭证进行跨域发布到我的服务器?在使用CORS时防止CSRF?
我正在制作一个书签,以便用户可以使用来自任何页面的CORS跨域发布到我的服务器。用户必须在发布和使用cookie之前进行身份验证。有什么办法可以防止恶意网站在他们的网页中嵌入javascript代码,以使用用户的凭证进行跨域发布到我的服务器?在使用CORS时防止CSRF?
理论上,可能有解决方案。
有一个缺陷这一概念:如果一个网站与任何由书签(如Array()
)使用的功能篡改,恶意网站可能仍然能够截取,复制和/或修改消息,用户ID或CSRF令牌。
不,也许你可以考虑发布到你的网站控制下的iframe,然后让用户在发布之前确认()。或者你可以在每个用户的小书签中嵌入一个独特的CSRF标记,然后......等等,我正在想一个主意...... – user2428118 2012-10-02 10:54:16