CSRF 攻击是否可以通过任何直接方式访问或操作其目标站点的 JavaScript 变量?
如果 ajax 驱动的站点使用存储为 javascript 变量的唯一令牌并在每个请求中验证它以防止 CSRF,那么它是否会打开任何攻击向量 - 前提是该站点没有 XSS 漏洞?
Does it open any attack vector if an ajax-driven site uses a unique token stored as a javascript variable and verifies it with every request to prevent CSRF -- provided that the site is free from XSS holes?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
它不会打开它进行攻击。如果该网站没有 XSS 漏洞,则其他页面就无法从 javascript 变量获取令牌。
It doesn't open it up to attack. If the site is free from XSS holes, there is no way another page could get the token from a javascript variable.