Когда предотвращение атак CSRF я должен предпринять следующие шаги:CSRF и плавающие фреймы
- входа пользователя в систему, установите куки сессии и генерировать CSRF токен
- Пользователь отправляет форму (с маркером), и он должен соответствовать фишку в сеансе
Но когда злоумышленник использует iframe, он также отправит куки-файл сеанса, который приведет к тому же токену CSRF, а также формы внутри iframe будут содержать токен. Таким образом, злоумышленник получает доступ.
Что мне здесь не хватает?
Возможный дубликат [Как предотвратить загрузку страницы моего сайта через сторонний фрейм сайта iFrame] (http://stackoverflow.com/questions/2896623/how-to-prevent-my-site-page-to -be загруженного-через-третьи стороны-сайт-кадр из-фрейма) – JimL