gpt4 book ai didi

xss - csrf 保护

转载 作者:行者123 更新时间:2023-12-04 15:47:50 29 4
gpt4 key购买 nike

有很多关于 preventing CSRF 的文章.

但我就是不明白:为什么我不能只解析目标页面表单中的 csrf token 并将其与我的伪造请求一起提交?

最佳答案

如果您能够将脚本代码注入(inject)目标页面(XSS),那么可以,您可以这样做,从而使 CSRF 预防无用。

CSRF token 必须存储在最终用户收到的页面中(否则他也不会知道)。

事实上,在安全评估中,XSS 通常不是针对其自身的潜在破坏性进行评估,而是针对其在此类攻击中的用途进行评估。

关于xss - csrf 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6576356/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com