什么是“内容类型:防止 IE 中的 XSRF”为了?

发布于 2024-11-05 06:17:37 字数 279 浏览 4 评论 0原文

Google 生成的 Feed 包含一个奇怪的注释:

<!-- Content-type: Preventing XSRF in IE. -->

例如,您可以在 提要。谁能解释一下该评论的目的吗?

Feeds produced by Google contain a strange comment:

<!-- Content-type: Preventing XSRF in IE. -->

For example, you can see it near the top of this feed. Can anyone explain the purpose of that comment?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

世俗缘 2024-11-12 06:17:37

看来 Benhoyt 在黑客新闻上询问并回答了这个问题

我刚刚加强了我们即将推出的 microPledge 网站 - http://micropledge.com - 以防止跨站点请求伪造 (CSRF)。我添加了一个随机 SHA 作为每个表单的表单密钥。
但!然后我发现了这个可爱的 IE 安全漏洞。攻击者可以使用跨域 JavaScript 和 mhtml: 重定向来抓取页面,获取表单密钥,然后执行 POST。杰出的!有人有解决这个问题的经验吗?

...

IE 将 MHTML 文档的第一部分解析为 HTTP 样式标头,因此,如果您的页面开头有一个 HTML 注释,其中包含“Content-Type: Somethingcrazy”,后跟一个空行,则会修复该问题。

It seems benhoyt on hacker news asked and answered this question.

I've just been tightening up our upcoming microPledge website -- http://micropledge.com -- to prevent cross-site request forgery (CSRF). I added a random SHA as a form key to each form.
But! Then I discovered this lovely IE security hole. An attacker can use cross-domain JavaScript and an mhtml: redirect to grab the page, get the form key, and then do the POST. Brilliant! Anyone have any experience in getting around this?

...

IE parses the first part of an MHTML document as HTTP-style headers, so if you have an HTML comment at the start of your pages with "Content-Type: Something crazy" followed by a blank line, that fixes it.

内心激荡 2024-11-12 06:17:37

XSRF(有时是 CSRF)是跨站点请求伪造:了解更多

XSRF (sometimes CSRF) is Cross-site Request Forgery: read more

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文