Ale*_*nos 2 internet-explorer feeds csrf atom-feed
Google提供的Feed包含一个奇怪的评论:
<!-- Content-type: Preventing XSRF in IE. -->
例如,您可以在此 Feed 的顶部附近看到它.任何人都可以解释该评论的目的吗?
我刚刚收紧我们即将推出的microPledge网站 - http://micropledge.com - 以防止跨网站请求伪造(CSRF).我添加了一个随机SHA作为每个表单的表单键.但!然后我发现了这个可爱的IE安全漏洞.攻击者可以使用跨域JavaScript和mhtml:redirect来获取页面,获取表单密钥,然后执行POST.辉煌!有没有经验可以解决这个问题?
...
IE将MHTML文档的第一部分解析为HTTP样式的标题,因此如果您在页面的开头有一个HTML注释,其中"Content-Type:Something crazy"后跟一个空行,则会修复它.
| 归档时间: |
|
| 查看次数: |
274 次 |
| 最近记录: |