CSRF 攻击是否可以通过任何直接方式访问或操作其目标站点的 JavaScript 变量?

发布于 2024-09-11 07:20:25 字数 96 浏览 8 评论 0原文

如果 ajax 驱动的站点使用存储为 javascript 变量的唯一令牌并在每个请求中验证它以防止 CSRF,那么它是否会打开任何攻击向量 - 前提是该站点没有 XSS 漏洞?

Does it open any attack vector if an ajax-driven site uses a unique token stored as a javascript variable and verifies it with every request to prevent CSRF -- provided that the site is free from XSS holes?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

花间憩 2024-09-18 07:20:25

它不会打开它进行攻击。如果该网站没有 XSS 漏洞,则其他页面就无法从 javascript 变量获取令牌。

It doesn't open it up to attack. If the site is free from XSS holes, there is no way another page could get the token from a javascript variable.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文