Gwt 如果内容类型不是简单的，浏览器作为SOP策略，如何利用CSRF_Gwt_Csrf_Option

Gwt 如果内容类型不是简单的，浏览器作为SOP策略，如何利用CSRF

gwt

Gwt 如果内容类型不是简单的，浏览器作为SOP策略，如何利用CSRF,gwt,csrf,option,Gwt,Csrf,Option,我有一个GWT应用程序。HTTP请求总是POST，服务器端的GET方法抛出异常（不支持该方法）。POST请求的标题包含以下内容： Content-Type: text/x-gwt-rpc; charset=UTF-8 X-GWT-Module-Base: xxxxx X-GWT-Permutation: xxxxxx 有人能告诉我怎么能在这里利用CSRF吗？攻击者不会伪造这样的恶意HTML吗 var xhr = new XMLHttpRequest(); xhr.open("POST", 'U

我有一个GWT应用程序。HTTP请求总是POST，服务器端的GET方法抛出异常（不支持该方法）。POST请求的标题包含以下内容：

Content-Type: text/x-gwt-rpc; charset=UTF-8
X-GWT-Module-Base: xxxxx
X-GWT-Permutation: xxxxxx

有人能告诉我怎么能在这里利用CSRF吗？攻击者不会伪造这样的恶意HTML吗

var xhr = new XMLHttpRequest();
xhr.open("POST", 'URL', true);
xhr.setRequestHeader('Content-type', 'text/x-gwt-rpc; charset=utf-8');
xhr.setRequestHeader('X-GWT-Permutation', 'XXXXXX');
xhr.setRequestHeader('X-GWT-Module-Base','XXXXXX');
xhr.send(data);

在这种情况下，无论该页面位于何处，由于内容类型不是简单的或简单的，它将产生一个跨来源呼叫，浏览器（现在的任何浏览器）将发出一个选项飞行前请求，在这种情况下，将失败，因为我的应用程序不响应选项，并且不返回访问控制允许来源到随机网站

即使我们使用了上述保护，攻击者如何在飞行前找到绕过浏览器选项的方法？是否可以绕过它？

您也可以在此处向GWT开发人员询问GWT问题：