Question

В настоящее время я внедряю защиту CSRF в мою инфраструктуру (PHP).

Однако мне интересно:

Не может ли злоумышленник загрузить мою страницу в (скрытый) iframe (получить токен) и изменить некоторые данные с помощью JavaScript?

И после этого отправляете форму?

alex · Answer 1 · 17 июля 2011

Если страница злоумышленника не имеет того же домена, протокола и порта, что и у вас (в противном случае у вас, вероятно, есть более серьезные проблемы), они не смогут прочитать HTML-код iframe из-за Политика единого происхождения .

Вопрос защиты CSRF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Вопрос защиты CSRF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы