javascript - CSRF 攻击是否可以通过任何直接方式访问或操纵其目标站点的 javascript 变量？

Question

如果 ajax 驱动的站点使用存储为 javascript 变量的唯一令牌并在每个请求中验证它以防止 CSRF，它是否会打开任何攻击向量——前提是该站点没有 XSS 漏洞？

Answer 1

它不会打开它进行攻击。如果该站点没有 XSS 漏洞，则其他页面无法从 javascript 变量中获取令牌。