Javascript 具有top.location的CSRF漏洞
我已经用一个表单创建了一个页面,但我不提交该表单。我已经为set top.location使用了javascript函数。当我测试该页面的漏洞时,我发现该区域使用html表单显示CSRF漏洞。你能帮帮我吗Javascript 具有top.location的CSRF漏洞,javascript,html,csrf,csrf-protection,Javascript,Html,Csrf,Csrf Protection,我已经用一个表单创建了一个页面,但我不提交该表单。我已经为set top.location使用了javascript函数。当我测试该页面的漏洞时,我发现该区域使用html表单显示CSRF漏洞。你能帮帮我吗 <form name="regForm" action="" method="POST" onsubmit="return submitForm();"> <input type="hidden" name="regid"> </form> <
<form name="regForm" action="" method="POST" onsubmit="return submitForm();">
<input type="hidden" name="regid">
</form>
<a href="#" onclick="display()">demo page</a>
<script>
function display()
{
top.location = 'http://stackoverflow.com/';
}
</script>
函数显示()
{
顶部位置:http://stackoverflow.com/';
}
我没有提交该表格,因此我没有使用CSRF令牌 如果您有一个CSRF漏洞,那么问题中的任何代码都不会暴露该漏洞。若要存在CSRF漏洞,您必须对用户输入执行某些操作,而您在此处没有执行这些操作。用户只需单击该链接“演示页面”。没有其他用户输入。您能告诉我java脚本中top.location是否存在任何可能的漏洞吗?是的,与导航用户或获取用户输入的任何其他方法一样,
top.location
也可能参与CSRF攻击。