你如何防止特定CSRF攻击

Question

我要槽的 OWASP十大名单 2007 和 2010 。

我偶然发现了跨站请求伪造（CSRF）这通常被称为会话控制，你让用户USEE他会满足你的愿望。

现在该溶液被添加到令牌每个URL和该令牌被检查的每一个环节。

例如对产品表决X的网址是：

'http://mysite.com?token=HVBKJNKL'

这看起来像一个固体溶液，因为黑客无法猜测该令牌。

不过，我想以下情形的（ 我不知道是否有可能的）：

您创建与隐藏的iframe或DIV网站。在此之后，你可以载入我的网站，要么只使用普通的iFrame或AJAX。

当你有我的网站加载的隐藏你的网站里，用户有存储的会话，下面可以做。您可以从网址检索令牌，仍然需要做的所有动作。

是否有可能做这样的事情。或者是不可能做到这一点跨域。

Answer 1

这是你所描述的攻击方式是一个明显违反了同源策略。 ，iframe的不继承权限以这种方式的。许多旁路到同源策略被发现。这些问题得到固定的唯一途径是通过人问这样的问题。我劝你尝试写代码来绕过这个问题，即使它失败。最坏的情况是，你会学到一些重要的东西，最好的情况下，你会发现一个问题，张贴到 Bugtraq的和特罗党:)。 OAH，每个人都将是错误修复安全。

XSS可用于旁路由同源策略针对特定漏洞的网站所提供的保护。 XSS漏洞可以被用来读取XSRF令牌使用XMLHttpRequest来。 这里是一个利用这一点写了这一点。

Answer 2

这场景是不是真的可能是因为虽然他们可能帧 http://mysite.com ，他们会需要令牌，使其帧 http://mysite.com?token=HVBKJNKL 。如果他们有令牌，那么你是不是安全反正。