我一直在玩Chrome控制台。
我发现我可以通过以下方式访问源代码的文本版本:
document.scripts[2].outerText
(数字“2”取决于主要源代码的位置)
之后,我所要做的就是:temp = document.scripts[2].outerText;
temp.indexOf("csrf_token")
和其他几件事来获得csrf_token
这是否意味着如果我可以执行xss(或在网站上运行自定义JS),那么csrf令牌可能会失败?
提前致谢:D
答案 0 :(得分:1)
这是否意味着如果我可以执行xss(或在网站上运行自定义JS),那么csrf令牌可能会失败?
是。如果存在允许攻击者执行XSS的安全漏洞,则可以规避CSRF保护(与许多其他事情一样)。
诀窍是抵御各种攻击。 :)