У меня есть механизм anti-crsf в моих приложениях, но мне интересно, действительно ли это необходимо? Могу ли я полагаться исключительно на одну и ту же политику происхождения, чтобы защитить моих пользователей от атак на межсайтовый ресурс?Является ли защита CORS (такая же политика происхождения) надежной?
0
A
ответ
1
Политика одного и того же происхождения предотвращает создание межсайтовых скриптов, что в противном случае было бы возможно даже для хорошо написанных приложений. Но это не поможет с CSRF, например, если вредоносный сайт включает в себя код, как это:
<body onLoad="document.getElementById('attack').submit();">
<form id="attack" action="http://victim/admin/add-user">
<input type="hidden" name="username" value="badguy"/>
<input type="hidden" name="password" value="asdf394y"/>
<input type="hidden" name="role" value="admin"/>
</form>
</body>
Злоумышленник не сможет прочитать ответ, но здесь это не нужно.
Смежные вопросы
- 1. Такая же политика происхождения нарушена?
- 2. localstorage такая же политика происхождения в IE
- 3. такая же политика происхождения в javascript
- 4. Показать Javascript «такая же политика происхождения»
- 5. такая же политика происхождения с локальным сервером
- 6. Не такая же политика происхождения с JSONP?
- 7. Значение SOP (такая же политика происхождения)
- 8. Почему такая же политика происхождения для XMLHttpRequest
- 9. Где такая же политика происхождения в javascript реализована?
- 10. Проблемы с веб-сайтами, возможно, такая же политика происхождения?
- 11. Такая же политика происхождения, казалось бы, не работает
- 12. Ошибка: доступ к ограниченному URI запрещен - такая же политика происхождения?
- 13. Как почтальон отправляет запросы? ajax, такая же политика происхождения
- 14. HTML5 Canvas getImageData и такая же политика происхождения
- 15. AJAX GET Запрос API (такая же политика происхождения не применяется)
- 16. Проверьте, применяется ли та же политика происхождения
- 17. Safari & Javascript - Политика же происхождения?
- 18. Та же политика происхождения LAN
- 19. Подпольная и та же политика происхождения
- 20. IFrame та же политика происхождения vaiolation
- 21. Одинаковая политика происхождения
- 22. iframe - location - та же самая политика происхождения
- 23. Та же самая политика происхождения javascript
- 24. Та же политика происхождения и .ajax crossDomain
- 25. JQuery .load Та же политика происхождения
- 26. же политика происхождения во внешних JS файл
- 27. Та же политика происхождения с различным портом
- 28. document.domain же политика происхождения не работает
- 29. Такая же реализация политики происхождения в Google Chrome
- 30. Что такое политика происхождения IE6