gpt4 book ai didi

xmlhttprequest - CSRF 通过 ClickJacking

转载 作者:行者123 更新时间:2023-12-04 19:49:22 24 4
gpt4 key购买 nike

是否可以通过点击劫持漏洞执行CSRF?

假设我的网站完全免受 csrf 攻击,但没有 XFO 那么有什么方法可以通过点击劫持漏洞利用 CSRF 吗?

我听说 xmlhttprequest 如果没有 XFO 但有 csrf 保护,它可以用来执行 csrf,所以知道吗?

最佳答案

是的,如果没有 X-Frame-Options 响应 header ,攻击者可以将您的页面框起来并使其透明,因此当受害者尝试单击攻击者站点上的按钮时 (例如 单击此处赢得 iPad)他们实际上正在与您的页面进行交互(例如 单击此处启动银行转帐)。

这依赖于受害者已经通过目标站点的身份验证,并且还依赖于该站点上可用的一键式操作。如果要填写的表格无法使用参数预先填写,那么如果不诱使受害者以某种方式完成这些内容,则这种特定的攻击是不可能的。这使得无参数表单或仅使用隐藏输入或 JavaScript 变量时的点击劫持风险更大。

请参阅 Clickjacking 上的 OWASP 页面和 Testing for Clickjacking获取更多信息。

关于xmlhttprequest - CSRF 通过 ClickJacking,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23197605/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com