什么是“内容类型：防止 IE 中的 XSRF”为了？

发布于 2024-11-05 06:17:37 字数 279 浏览 0 评论 0原文

Google 生成的 Feed 包含一个奇怪的注释：

<!-- Content-type: Preventing XSRF in IE. -->

例如，您可以在此提要。谁能解释一下该评论的目的吗？

原文

Feeds produced by Google contain a strange comment:

<!-- Content-type: Preventing XSRF in IE. -->

For example, you can see it near the top of this feed. Can anyone explain the purpose of that comment?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

世俗缘 2024-11-12 06:17:37

看来 Benhoyt 在黑客新闻上询问并回答了这个问题。

我刚刚加强了我们即将推出的 microPledge 网站 - http://micropledge.com - 以防止跨站点请求伪造 (CSRF)。我添加了一个随机 SHA 作为每个表单的表单密钥。
但！然后我发现了这个可爱的 IE 安全漏洞。攻击者可以使用跨域 JavaScript 和 mhtml: 重定向来抓取页面，获取表单密钥，然后执行 POST。杰出的！有人有解决这个问题的经验吗？

...