Html 如何使跨域形式的CSRF和重放具有抗干扰性?
我正在考虑做一个项目,但我想知道跨站点请求伪造是否会使其无法安全 基本上,我希望有一个web服务,在另一个域的页面上使用常用技巧(JSON-p和iframes)生成表单。因此,WebService.example.com生成表单的HTML,并在user.example.com上显示给用户 我假设这个表单必须使用注入的iframe技巧从javascript提交表单。因为任何人都可以从WebService.example.com获取相同的数据,我如何确保它实际上只来自User.example.com?最好不必在User.example.com上运行任何服务器端代码Html 如何使跨域形式的CSRF和重放具有抗干扰性?,html,json,cross-domain,csrf,Html,Json,Cross Domain,Csrf,我正在考虑做一个项目,但我想知道跨站点请求伪造是否会使其无法安全 基本上,我希望有一个web服务,在另一个域的页面上使用常用技巧(JSON-p和iframes)生成表单。因此,WebService.example.com生成表单的HTML,并在user.example.com上显示给用户 我假设这个表单必须使用注入的iframe技巧从javascript提交表单。因为任何人都可以从WebService.example.com获取相同的数据,我如何确保它实际上只来自User.example.com
注意,我将在Web服务中使用ASP.Net,但我希望以一种与语言/框架无关的方式解释它如果不在两个域上使用服务器端脚本,这是非常困难的 如果您更改了体系结构并只使用跨域消息传递(在顶级域中承载表单等,使用iframe进行通信),那么您可以使用XDM来验证它是否确实是您正在与之交谈的预期域 如果你只针对支持HTML5的浏览器,那么就使用
postMessage源代码