CSRF攻击是否有可能读取受害者浏览器中已存在的全局JavaScript变量的内容?
我的计划是让应用程序存储在用户成功登录时存储在会话中的CSRFToken值,然后将其保存在全局可访问的JavaScript变量中以供应用程序使用。我将使用jQuery自动将此值附加到应用程序中的任何表单后期操作。在服务器端,我将检查值是否匹配并完成操作或在未找到匹配时阻止它。
我的理解是CSRF攻击可以通过各种方法部署,但它们都需要将受害者重定向到第三方站点以执行恶意代码。例如,第三方网站可以尝试伪造表单请求,但除非他们知道CSRFToken的内容,否则操作将失败。除非当然......他们可以以某种方式达到目的。这可能吗?
答案 0 :(得分:0)
CSRF attack不需要您的浏览器中的任何数据在第三方网站(即攻击者)上可见。因此,CSRF攻击不会(或不能)读取浏览器中的任何状态(cookie或javascript变量)。