CSRF: können die JSON-Daten durch eine POST-Anfrage zurück gestohlen werden?
Frage
Können die JSON-Daten, die von einer POST-Anforderung zurückgegeben durch einen Cross-Site-Request-Forgery Angriff gestohlen werden?
Lösung
Es kann nicht JS getan werden, aber ich bin über Flashs Cross-Domain-Anfrage nicht sicher.
In JS POST-Anforderung kann über Formen und XMLHTTPRequest gemacht werden. Sie können nicht Ergebnis einer Cross-Domain-Form sehen, so das ist sicher. XHR verbietet Cross-Domain-Anfragen, so ist das auch sicher.
Browser erlaubt Cross-Domain-Aufnahme von Skripten über <script>
Element, aber das ist nur mit GET.
Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow