通过ClickJacking的CSRF
通过ClickJacking的CSRF
提问于 2014-04-21 12:37:27
是否可以通过单击劫持漏洞执行CSRF?
假设我的网站被完全保护不受csrf攻击,但是没有XFO,那么有任何方法可以通过点击攻击漏洞来利用CSRF吗?
我听说过xmlhttprequest,如果没有XFO但有csrf保护,可以使用它来执行csrf,所以有什么想法吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2014-04-23 09:15:49
是的,如果没有X-Frame-Options响应头,攻击者可以对页面进行框架设置并使其透明,因此当受害者试图单击攻击者站点上的按钮(例如Click here to win an iPad)时,他们实际上正在与您的页面进行交互(例如Click here to Initiate Bank Transfer)。
这依赖于受害者已经通过目标站点进行身份验证,也依赖于站点上有一个可供使用的单击操作。如果有一个表单无法通过参数的使用预先填写,那么这种特定的攻击是不可能的,除非欺骗受害者完成这些攻击。这使得对无参数窗体而言,或者只使用隐藏输入或JavaScript变量时,单击劫持更有风险。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/23197605
复制相关文章
相似问题
腾讯云开发者
