Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
如果 ajax 驱动的站点使用存储为 javascript 变量的唯一令牌并在每个请求中验证它以防止 CSRF,它是否会打开任何攻击向量——前提是该站点没有 XSS 漏洞?
它不会打开它进行攻击。如果该站点没有 XSS 漏洞,则其他页面无法从 javascript 变量中获取令牌。