您如何防范特定的CSRF攻击

Question

我将通过2007年和2010年的OWASP十大名单.

我偶然发现Cross Site Request Forgery(CSRF)这通常被称为会话骑行,因为您让用户使用他的会话来实现您的愿望.

现在解决方案是向每个URL添加一个令牌,并为每个链接检查此令牌.

例如,对产品x进行投票,网址为:

'http://mysite.com?token=HVBKJNKL'

这看起来像是一个可靠的解决方案,因为黑客无法猜出令牌.

但我正在考虑以下场景(我不知道是否可能):

您创建一个隐藏的iFrame或div的网站.之后,您可以使用普通的iFrame或ajax加载我的网站.

如果您的网站已隐藏在您的网站内,并且用户已存储会话,则可以执行以下操作.您可以从URLS检索令牌,并仍然执行所需的所有操作.

有可能做这样的事情.或者是不可能做这个跨域.

Answer 1

您所描述的攻击明显违反了同源策略.,iframe不以这种方式继承权限.已发现许多绕过同一原产地政策的旁路.解决这些问题的唯一方法是人们提出这样的问题.我敦促你尝试编写代码来绕过这个问题,即使它失败了.最糟糕的情况是你会学到一些重要的东西,最好的情况下你会发现一个问题,把它发布到bugtraq,并举办派对:).哦,每个人都会更安全地修复错误.

XSS可用于绕过针对特定易受攻击站点的同源策略提供的保护.XSS漏洞可用于使用XmlHttpRequest读取XSRF令牌. 这是一个写入的漏洞利用程序.