2011-07-17 1 views
8

私は現在、フレームワーク(PHP)にCSRF保護を実装中です。攻撃者は(トークンを取得)(隠された)iframe内に自分のページをロードし、JavaScriptを使用していくつかのデータを変更するためCSRF保護質問

を、それは可能ではないでしょう:私は疑問に思ってすることが

その後、フォームを送信していますか?

答えて

11

攻撃者のページに同じドメイン、プロトコル、ポートがある場合は、Same Origin PolicyのためにiframeのHTMLを読み取ることができません。

+0

Ok kewl。私は、同じ起源政策が私たちが要求をすることができないことを意味していると思った。 – PeeHaa

+0

@PeeHaa:それは文脈によって異なります。 'iframe'では、ドメイン、ポート、プロトコルが一致しない限り、あなたは' iframe'のDOMにアクセスすることができません。 – alex

関連する問題