8
저는 현재 프레임 워크 (PHP)에 CSRF 보호를 구현 중입니다.CSRF 보호 질문
궁금 그러나 :
이그것은 공격자가 (토큰을 획득)을 (숨겨진) iframe에 내 페이지를로드하는 것이 가능하고 자바 스크립트를 사용하여 일부 데이터를 변경하지 않을까요 ?
그런 다음 양식을 제출 하시겠습니까?
A
답변
11
공격자 페이지의 도메인, 프로토콜 및 포트가 동일하지 않은 경우 (더 심각한 문제 일 경우) Same Origin Policy 때문에 iframe 님의 HTML을 읽을 수 없습니다.
관련 문제
- 1. csrf 보호
- 2. symfony로 CSRF 보호
- 3. php csrf 보호 라이브러리
- 4. 레일, OAuth 및 CSRF 보호
- 5. 레일 앱에서 CSRF 보호 기능을 끄려면 어떻게해야합니까?
- 6. CSRF 보호 및 교차 사이트 양식 액세스
- 7. 쿠키가 비활성화 된 경우 CSRF 보호 처리
- 8. 형식 유효성 검사없이 codeigniter csrf 보호
- 9. 세션의 CSRF 보호 토큰을 안전하게 보호합니까?
- 10. MVF2를 사용하여 AJAX 요청의 CSRF 보호
- 11. 기본 쿠키 및 CSRF 질문
- 12. Django 1.2에서는 {% csrf_token %} CSRF 보호 태그가 여전히 필요합니까?
- 13. 때때로 CSRF 보호 기능을 비활성화 할 수 있습니까?
- 14. django https + CSRF
- 15. CodeIgniter의 CSRF 토큰 문제
- 16. CakePHP와 CSRF
- 17. 레일은 보호 질문, 숨겨진 필드를 형성합니다
- 18. 빠른 CPU 링 모드 보호 질문
- 19. 비밀번호로 보호 된 웹 콘텐츠 - 기본 질문
- 20. 자바 스크립트 CSRF 취약점을
- 21. 프록시 뒤에 장고의 CSRF 보호를 비활성화하는 방법
- 22. csrf 토큰 : CSRF 공격이 감지되었습니다. 백엔드 용으로 만 생산
- 23. Django - CSRF 확인에 실패했습니다.
- 24. CSRF 및 변경 토큰
- 25. Facebook 인증 예제 CSRF
- 26. CSRF 공격 시뮬레이션
- 27. Django : CSRF 확인에 실패했습니다.
- 28. django CSRF 유효성 확인
- 29. 아약스의 CSRF 토큰
- 30. OpenID iframe에 CSRF 구현
Ok kewl. 같은 원산지 정책은 우리가 요청을 할 수 없다는 것을 의미한다고 생각했습니다. – PeeHaa
@PeeHaa : 상황에 따라 다릅니다. 'iframe'은 도메인, 포트 및 프로토콜이 일치하지 않으면'iframe'의 DOM에 액세스 할 수 없다는 것을 의미합니다. – alex