8
私は現在、フレームワーク(PHP)にCSRF保護を実装中です。攻撃者は(トークンを取得)(隠された)iframe内に自分のページをロードし、JavaScriptを使用していくつかのデータを変更するためCSRF保護質問
を、それは可能ではないでしょう:私は疑問に思ってすることが
?
その後、フォームを送信していますか?
Q
CSRF保護質問
A
答えて
11
攻撃者のページに同じドメイン、プロトコル、ポートがある場合は、Same Origin PolicyのためにiframeのHTMLを読み取ることができません。
関連する問題
- 1. csrfの保護
- 2. API CSRF保護
- 3. Spring CSRF保護シナリオ?
- 4. php csrf保護ライブラリ
- 5. IdentityServer4のCSRF保護
- 6. Rest APIのCSRF保護
- 7. Angular2とLaravel CSRF保護
- 8. CSRFフェニックスとアングルの保護
- 9. Spring OAuth2クライアント、CSRF保護
- 10. CSRF保護またはセッション固定保護
- 11. 免責事項directfinderでのCSRF保護
- 12. CSRF/SQLインジェクション保護。ほかに何か?
- 13. symfonyによるCSRFの保護
- 14. TYPO3でのクロスサイトリクエスト偽造(CSRF)保護
- 15. CSRF HTTPによるGETリクエストの保護
- 16. AJAX GETメソッドによるCSRFトークン保護
- 17. CSRF Spring Securityを使用した保護
- 18. フォーム検証なしのCodeigniter csrf保護
- 19. CSRF保護とSpringセッションヘッダーセッションの戦略
- 20. パスワードで保護されたウェブコンテンツ - 基本的な質問
- 21. WSO2 IS 5.2.0 CSRF CSRFGuardおよび/またはCSRF Filter/Valveによる保護?
- 22. Spring XDと保護の質=プライバシー
- 23. エクセルオフィスアドインAPIワークシートの保護パスワード私はExcelのワークシートの保護に関連する質問があり
- 24. BoomlaにCSRF保護が実装されていますか?
- 25. CSRF AJAX&FORMによる保護 - CodeIgniter - 送信していない
- 26. シングルページWebAPIをCSRF攻撃から保護する方法は?
- 27. 複数のブラウザタブでPHPのCSRF攻撃から保護
- 28. PlayFramework 2.1.x(Scala)でCSRF保護を実装する方法は?
- 29. SilexでフォームのCSRF保護を無効にする
- 30. ログインフォームベースのLDAP認証を使用したApacheリバースプロキシのCSRF保護
Ok kewl。私は、同じ起源政策が私たちが要求をすることができないことを意味していると思った。 – PeeHaa
@PeeHaa:それは文脈によって異なります。 'iframe'では、ドメイン、ポート、プロトコルが一致しない限り、あなたは' iframe'のDOMにアクセスすることができません。 – alex