9

我目前正在将 CSRF 保护实施到我的框架 (PHP) 中。

但是我想知道:

攻击者不可能将我的页面加载到(隐藏的)iframe 中(获取令牌)并使用 JavaScript 更改一些数据吗?

然后提交表格?

4

1 回答 1

11

iframe除非攻击者的页面与您的页面具有相同的域、协议和端口(如果是,您可能有更严重的问题),由于Same Origin Policy,他们将无法读取的 HTML 。

于 2011-07-17T14:09:21.637 回答