Google chrome extension 铬合金扩展件和CSRF抗毁性_Google Chrome Extension_Firefox Addon_Csrf_Safari Extension_Csrf Protection

Google chrome extension 铬合金扩展件和CSRF抗毁性

google-chrome-extension firefox-addon

Google chrome extension 铬合金扩展件和CSRF抗毁性,google-chrome-extension,firefox-addon,csrf,safari-extension,csrf-protection,Google Chrome Extension,Firefox Addon,Csrf,Safari Extension,Csrf Protection,假设我们有一个使用CSRF令牌的站点现在我们有了一个浏览器/浏览器扩展（css、js、html），它使用隐藏在输入中的CSRF来执行post请求并更改应用程序的状态如何防范这种攻击？还是我遗漏了什么？在其他网站上运行的随机javascript和扩展脚本之间的区别在于前者是不可信的，而后者是可信的扩展代表用户，用户可以访问这些信息（他们可以检查DOM），扩展也是如此 CSRF令牌仅用于防御来自不受信任来源的请求。在其他网站上运行的随机javascript和扩展脚本之间的区别在于前者不受信任，

假设我们有一个使用CSRF令牌的站点

现在我们有了一个浏览器/浏览器扩展（css、js、html），它使用隐藏在输入中的CSRF来执行post请求并更改应用程序的状态

如何防范这种攻击？还是我遗漏了什么？

在其他网站上运行的随机javascript和扩展脚本之间的区别在于前者是不可信的，而后者是可信的

扩展代表用户，用户可以访问这些信息（他们可以检查DOM），扩展也是如此

CSRF令牌仅用于防御来自不受信任来源的请求。

在其他网站上运行的随机javascript和扩展脚本之间的区别在于前者不受信任，而后者受信任

扩展代表用户，用户可以访问这些信息（他们可以检查DOM），扩展也是如此

CSRF令牌仅用于防御来自不受信任来源的请求。

如果您拥有允许访问您打开的页面的浏览器扩展，则您已经丢失了。防止它的方法是不安装此类扩展。：）如果您有一个允许访问您打开的页面的浏览器扩展，那么您已经丢失了。防止它的方法是不安装此类扩展。：）