Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/369.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 具有top.location的CSRF漏洞_Javascript_Html_Csrf_Csrf Protection - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 具有top.location的CSRF漏洞

Javascript 具有top.location的CSRF漏洞

javascript html

Javascript 具有top.location的CSRF漏洞,javascript,html,csrf,csrf-protection,Javascript,Html,Csrf,Csrf Protection,我已经用一个表单创建了一个页面,但我不提交该表单。我已经为set top.location使用了javascript函数。当我测试该页面的漏洞时,我发现该区域使用html表单显示CSRF漏洞。你能帮帮我吗 <form name="regForm" action="" method="POST" onsubmit="return submitForm();"> <input type="hidden" name="regid"> </form> <

我已经用一个表单创建了一个页面,但我不提交该表单。我已经为set top.location使用了javascript函数。当我测试该页面的漏洞时,我发现该区域使用html表单显示CSRF漏洞。你能帮帮我吗

<form name="regForm" action="" method="POST" onsubmit="return submitForm();">
    <input type="hidden" name="regid">
</form>

<a href="#" onclick="display()">demo page</a>

<script>
  function display()
        {
            top.location = 'http://stackoverflow.com/';
        }
</script>


函数显示()
{
顶部位置:http://stackoverflow.com/';
}
我没有提交该表格,因此我没有使用CSRF令牌

如果您有一个CSRF漏洞,那么问题中的任何代码都不会暴露该漏洞。若要存在CSRF漏洞,您必须对用户输入执行某些操作,而您在此处没有执行这些操作。用户只需单击该链接“演示页面”。没有其他用户输入。您能告诉我java脚本中top.location是否存在任何可能的漏洞吗?是的,与导航用户或获取用户输入的任何其他方法一样,
top.location
也可能参与CSRF攻击。