Php 基于javascript的动态xsrf
我只是想知道是否有可能xsrf攻击这个:Php 基于javascript的动态xsrf,php,html,security,csrf,Php,Html,Security,Csrf,我只是想知道是否有可能xsrf攻击这个: <form ...> <input type="hidden" name="token" value="xsrf-generated-token" /> ... fields+submit button ... </form> ... 字段+提交按钮。。。 使用类似javascript的: 攻击者让我进入他的网站 然后他用GET/admin/users/test/edit调用javascript 他解析xsrf
<form ...>
<input type="hidden" name="token" value="xsrf-generated-token" />
... fields+submit button ...
</form>
... 字段+提交按钮。。。
使用类似javascript的:
- 攻击者让我进入他的网站
- 然后他用GET/admin/users/test/edit调用javascript
- 他解析xsrf令牌(由于同源策略,使用regex-dom将无法工作)
- 并发送签名编辑
也不应该是由令牌签名的GET/admin/users/test/edit?原因是正常的ajax请求(使用XHR)受到限制。因此,这意味着为了使其工作,您首先需要利用XSS漏洞,然后才能执行CSRF漏洞 现在,JSONP似乎是解决这个问题的一种方法。但事实并非如此。由于JSONP使用脚本标记,因此请求的结果将直接输入。由于结果是HTML而不是JS,因此应该抛出语法错误 因此,如果不首先破坏站点本身,就不可能获得令牌。但有两件事需要注意,这一切都取决于:
我是否正确地理解了您的理解,即“他使用GET/admin/users/test/edit调用javascript”步骤将失败,因为是同源策略?