Javascript CSRF漏洞在我不修复的情况下停止工作
我读了很多关于CSRF的书,准备在我的网站上添加评论,我逐渐明白了这一点 Javascript可以强制用户的浏览器向任何URL发送任意POST请求,浏览器将自动包含cookie和其他站点数据(如存储的基本身份验证密码),我成功地向自己演示了这一点——编写了一个HTML文件,将以我的身份向我的站点发布评论(需要基本身份验证)只需我加载文件,无需提示输入密码。该漏洞可在Firefox或Chromium中使用。但后来我把修复该漏洞的项目搁置了一段时间,10月20日,当我回到该项目时,发现该漏洞在Firefox或Chrome上都不再有效。可以发送POST请求,但浏览器不会附加cookie或基本身份验证信息,即使cookie未标记为SameSite、Secure或HttpOnly 有什么变化吗 我疯了吗?以下是我加载的HTML文件:Javascript CSRF漏洞在我不修复的情况下停止工作,javascript,csrf,Javascript,Csrf,我读了很多关于CSRF的书,准备在我的网站上添加评论,我逐渐明白了这一点 Javascript可以强制用户的浏览器向任何URL发送任意POST请求,浏览器将自动包含cookie和其他站点数据(如存储的基本身份验证密码),我成功地向自己演示了这一点——编写了一个HTML文件,将以我的身份向我的站点发布评论(需要基本身份验证)只需我加载文件,无需提示输入密码。该漏洞可在Firefox或Chromium中使用。但后来我把修复该漏洞的项目搁置了一段时间,10月20日,当我回到该项目时,发现该漏洞在Fir
<script>
req = fetch("https://test.yujiri.xyz/api/comments?name=Yujiri&reply_to=/", {"method": "POST",
"body": "CSRF test.", "mode": "no-cors"})
</script>
req=fetch(“https://test.yujiri.xyz/api/comments?name=Yujiri&reply_to=/“,{”方法“:“POST”,
“主体”:“CSRF测试”,“模式”:“无cors”})
我发誓这曾经奏效,但从10月20日起就不行了。(返回401个带有WWW Authenticate的响应。)这个问题已经有几个月了,我的网站不再使用基本的auth,它使用SameSite cookies,所以它对我来说不再重要了。尽管如此,我还是尝试了
凭证:“包括”凭据:“include”获取