与浏览器的同源策略混淆
与浏览器的同源策略混淆
提问于 2018-07-12 17:21:39
我们知道,浏览器的同源策略禁止对异源的async请求。此策略的目的是防止CSRF攻击。
但我们仍然可以同步请求国外来源,浏览器将获取目标网站的cookie,然后CSRF再次发生。Exp.我们可以在黑客的网站中添加一个隐藏的表单,并自动向目标网站提交请求。
那么这个政策是必要的吗?
回答 1
Stack Overflow用户
发布于 2018-07-12 17:44:13
要关闭CSRF攻击,通常使用令牌,稍后将对其进行检查。因此,具有隐藏形式的攻击网站不知道令牌,因为它被输入到国外网站的代码中。同源策略将阻止读取外部站点的页面,因此您永远不会通过异步调用获得令牌
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/51301807
复制相关文章
相似问题
腾讯云开发者
