0

如果 ajax 驱动的站点使用存储为 javascript 变量的唯一令牌并在每个请求中验证它以防止 CSRF,它是否会打开任何攻击向量——前提是该站点没有 XSS 漏洞?

4

1 回答 1

1

它不会打开它进行攻击。如果该站点没有 XSS 漏洞,则其他页面无法从 javascript 变量中获取令牌。

于 2010-07-23T14:54:31.020 回答