Google에서 제작 한 피드에는 이상한 주석이 들어 있습니다.'콘텐츠 유형 : IE에서 XSRF 예방'이란 무엇입니까?
<!-- Content-type: Preventing XSRF in IE. -->
예를 들어, this 피드 상단 근처에서 볼 수 있습니다. 누구든지 그 의견의 목적을 설명 할 수 있습니까?
Google에서 제작 한 피드에는 이상한 주석이 들어 있습니다.'콘텐츠 유형 : IE에서 XSRF 예방'이란 무엇입니까?
<!-- Content-type: Preventing XSRF in IE. -->
예를 들어, this 피드 상단 근처에서 볼 수 있습니다. 누구든지 그 의견의 목적을 설명 할 수 있습니까?
그것은 해커 뉴스 asked and answered this question에 benhoyt 보인다
XSRF (때로는 CSRF)는 크로스 사이트 요청 위조입니다.
저는 CSRP (cross-site request forgery)를 방지하기 위해 곧 예정된 microPledge 웹 사이트 인 http://micropledge.com을 강화했습니다. 각 폼에 무작위로 SHA를 양식 키로 추가했습니다. 하지만! 그렇다면이 아름다운 IE 보안 구멍을 발견했습니다. 공격자는 크로스 도메인 JavaScript와 mhtml : redirect를 사용하여 페이지를 잡고 양식 키를 얻은 다음 POST를 수행 할 수 있습니다. 훌륭한! 누구든지이 문제를 해결할 수있는 경험이 있습니까?
...
IE는 HTTP 스타일의 헤더로 MHTML 문서의 첫 번째 부분을 구문 분석, 그래서 당신은 "Content-Type을 사용하여 페이지의 시작에 HTML 주석이있는 경우 : 뭔가를 미친 "뒤에 빈 줄이 나옵니다.