1
내 웹 사이트에 대한 CSRF 보호 기능을 개발 중입니다.CSRF - 토큰을 가져 오기 위해 아약스 요청 보내기
토큰을 양식 + 세션의 숨겨진 입력에 저장하고 동일한 지 확인합니다.
난 그냥이 시나리오에 대해 궁금 :
- 사용자가 방문하는 악의적 인 웹 사이트
- 악의적 인 웹 사이트는 양식 페이지를 얻을 수 아약스 GET 요청을 전송하고 추출물은 그것에서 토큰
- 악의적 인 웹 사이트로 POST 요청을 보냅니다 이전에 추출 된 데이터 + 토큰 변경.
이 시나리오에서 가능할까요? 내가 놓친 게 있니?
당신은 혼란스러워 할 것입니다. 각 웹 사이트에는 서버 측에서 고유 세션 (CSRF 토큰 초기화)이 있습니다. –