1

我一直在玩 chrome 的控制台。

我发现我可以通过以下方式访问我的源代码的文本版本:

document.scripts[2].outerText

(数字“2”取决于主要源代码在哪里)

在那之后,我所要做的就是:

temp = document.scripts[2].outerText;
temp.indexOf("csrf_token")

和其他几件事来获得 csrf_token

这是否意味着如果我可以做 xss(或在网站上运行自定义 JS),那么 csrf 令牌可能会失败?

提前致谢

4

1 回答 1

1

这是否意味着如果我可以做 xss(或在网站上运行自定义 JS),那么 csrf 令牌可能会失败?

是的。如果存在允许攻击者执行 XSS 的安全漏洞,则可以绕过 CSRF 保护(就像许多其他事情一样)。

诀窍是防御各种攻击。:)

于 2012-06-11T09:17:57.163 回答