我目前正在将 CSRF 保护实施到我的框架 (PHP) 中。
但是我想知道:
攻击者不可能将我的页面加载到(隐藏的)iframe 中(获取令牌)并使用 JavaScript 更改一些数据吗?
然后提交表格?
我目前正在将 CSRF 保护实施到我的框架 (PHP) 中。
但是我想知道:
攻击者不可能将我的页面加载到(隐藏的)iframe 中(获取令牌)并使用 JavaScript 更改一些数据吗?
然后提交表格?
iframe
除非攻击者的页面与您的页面具有相同的域、协议和端口(如果是,您可能有更严重的问题),由于Same Origin Policy,他们将无法读取的 HTML 。