再者,浏览器端对跨域ajax限制非常严格,根本不允许跨域访问cookie。
那么我们web开发时,现在对csrf所做的措施(一般是给form 加个hidden csrf token input),是否是多此一举了,完全没必要?
回复内容:
哈哈哈,当然仍旧需要。测了下,虽然,nginx配置'X-Frame-Options' to 'SAMEORIGIN'后,同domain下居然不能iframe不同子域名,既然打不开就更别说之后的通过js来获取cookie进而得到session id。
但是一种更简单的攻击仍旧无法避免:
如果你在一个被我做了手脚的wifi环境(局域网)中,我污染了dns,并且做了个恶意站叫做csrf-attack,然后你登陆了某个没有csrf防御的站叫做no-csrf-token, 然后我在csrf-attack里做了个页面,里面有个这样的表单:
action="no-csrf-token/reset-password" method="post">
type="hidden" name="password" value="password123">
type="hidden" name="repassword" value="password123">
type="submit">点击送话费
这真的不是钓鱼贴? 所有的东西都在后台可以看到
相关文章推荐
• 面试官:列举几种PHP拓展的实现手段及其性能比较?• GD输出汉字的函数的分析_PHP• javascript - 哪里有可以下载的股票历史数据?• Yii rules常用规则示例_php实例• 日常整理PHP中简单的图形处理(经典)_php实例
jquery 基础视频教程
jQuery 很容易学习,希望通过我们的《jquery 基础视频教程》可以帮助大家来更好的学习jQuery。 jQuery 是一个 JavaScript 库,简化了 JavaScript 编程。
jQuery教程51320次播放
javascript三级联动视频教程
《javascript三级联动视频教程》介绍了javascript开发的三级联动功能,该功能在日常使用中还是经常能用的到的一个。
JavaScript教程30451次播放
独孤九贱(3)_JavaScript视频教程
javascript是运行在浏览器上的脚本语言,连续多年,被评为全球最受欢迎的编程语言。是前端开发必备三大法器中,最具杀伤力。如果前端开发是降龙十八掌,好么javascript就是第18掌:亢龙有悔。没有它,你的前端生涯是不完整的。《php.cn独孤九贱(3)-JavaScript视频教程》课程特色:php中文网原创幽默段子系列课程,以恶搞,段子为主题风格的php视频教程!轻松的教学风格,简短的教学模式,让同学们在不知不觉中,学会了javascript知识。
JavaScript教程120162次播放
独孤九贱(6)_jQuery视频教程
jQuery是一个快速、简洁的JavaScript框架。设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 核心特性可以总结为:具有独特的链式语法和短小清晰的多功能接口;具有高效灵活的css选择器,并且可对CSS选择器进行扩展;拥有便捷的插件扩展机制和丰富的插件。兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等,是全球最流行的前端开发框架之一。PHP中文网根据最新版本,独家录制jQuery最新视频教程,回馈PHP中文网的新老用户。
jQuery教程99454次播放
