Путать с той же политикой происхождения браузеров
1
Как мы знаем, в той же политике происхождения браузеров запрещен запрос async запроса иностранному происхождению. Эта цель политики заключается в предотвращении атаки CSRF.
Но мы по-прежнему можем синхронно запрашивать иностранное происхождение, и браузер будет использовать целевой файл cookie, а затем снова CSRF. Exp. Мы можем добавить скрытую форму на веб-сайт хакера и автоматически отправить запрос на целевой сайт.
Так нужна ли эта политика?
-
0« Но мы все равно можем синхронно обращаться к иностранному источнику ». Можем ли мы на самом деле?Teemu
-
0@Temu. Exp. Мы можем добавить скрытую форму на сайт хакера и автоматически отправить запрос на целевой сайт.laoqiren
Показать ещё 3 комментария
1 ответ
0
Чтобы закрыть CSRF Attack, вы можете использовать маркер, который будет проверяться позже. Таким образом, атакующий сайт со скрытой формой не знает токена с момента его ввода в код зарубежного веб-сайта. Одна и та же политика происхождения предотвратит чтение страницы иностранного сайта, чтобы вы не получили токен с асинхронным вызовом
Kapsonfire
Поделиться
Ещё вопросы
- 0Итоги с подгруппами
- 1Как сравнить длину слов во входном тексте и отсортировать их по значению длины
- 0«Введите ошибку: слишком мало аргументов для функции App \ Http \ Controllers \ FrontController :: detail (), 0 передано и ожидается ровно 1»
- 1почему event.target не запускается в следующем коде, пока работает простой обработчик события click?
- 1Скачать файл и сохранить на диск не работает
- 0Hash - Sha512 использует только буквы и цифры
- 0Можно ли встроить pchart в функцию?
- 1Как исправить «java.io.IOException: чтение не удалось, сокет может быть закрыт или истекло время ожидания» при попытке подключения к сопряженному устройству?
- 1Получить локализацию Windows для .NET перечислений
- 0Нужна помощь в пересмотре сценария автоматической проверки
- 1Подсчитать частичное совпадение в каждом столбце DataFrame в Pandas
- 0_score при выполнении индексации вasticsearch
- 0Выбор QTreeView очищает цвет текста
- 1Повторение совпадения
- 1сохранить номера диапазонов
- 1Как заставить Jetty Maven плагин v9.1.x * не * развертывать зависимые военные артефакты?
- 1Как предоставить интерфейс командной строки SQL (например, osql) для базы данных MSSQL через веб-страницу в .NET MVC (c #)
- 0Php dbase возвращает неверное количество столбцов
- 0Угловые атрибуты по директивам
- 0g ++: CreateProcess: нет такого файла или каталога [дубликата]
- 1Получать хеш-строку разных приложений каждый раз | API SMS Retriever
- 0Как взять содержимое из текстового поля и поместить его в переменную и div в JavaScript
- 0Как динамически сгенерировать mysql ON DUPLICATE UPDATE в python
- 0Получение значения из http-ответа angularjs в случае веб-API ASP.Net
- 1Как я могу обрабатывать изображения с OpenCV параллельно, используя многопроцессорность?
- 0Ссылочное выражение в switch
- 0Как отобразить сообщение об ошибке для нулевого значения, используя ноти?
- 0HTML / PHP формы сообщений (случайные) значения в таблицу SQL
- 0Symfony 2.5.6 - исключение UnexpectedTypeException в пользовательском типе формы
- 0Входные параметры как HEX из командной строки
- 0Sql запрос Join / Где 3 таблицы
- 1Как мне фильтровать и считать объекты в массиве javascript?
- 1Отправить токен в шапке (разные действия)
- 0Получите запись не более 7 дней с момента публикации
- 1Java SE Truth API Morena7
- 0выпадающий список, который обновляет содержимое div при выборе
- 0Как игнорировать img класс из одного изображения
- 0Генератор случайных функций между двумя целыми числами C ++
- 0если он имеет данные, но не правильного типа или значения
- 1Полимер служит для изменения обслуживаемых файлов JavaScript для Internet Explorer 11. Как заставить его работать на другом веб-сервере?
- 0Tinymce форматирует текстовую область с помощью HTML. Не отображается в DOM?
- 0почему это JQuery не добавляет правильные значения в моей БД
- 0Преобразование координат SVG в координаты карты изображения HTML
- 0Проблемы с загрузкой формы PHP
- 0Ширина и высота страницы заполнения холста
- 0Как добавить значение в пользовательский атрибут с помощью JQuery?
- 0PHP - получить строки из базы данных, где слово отсутствует в определенном тексте
- 1Как отложить вызов в базу данных от gwt?
- 1Добавьте вывод в раздел «СБОЙ» теста, не захватывая стандартный вывод
- 0? вместо значения с обновлением Zend
