我们正在使用表单帖子将我们的网站与外部网站整合在一起。我们页面上的表单将提交到不同域的外部网站。这甚至可能吗?我以为这会是一次注射攻击。
答案 0 :(得分:3)
是的,应该是可能的。确保你有足够的验证,以便你不发布有害数据(你不负责任)也希望对方也有一些服务器端验证。
答案 1 :(得分:0)
有一种漏洞称为跨站点请求伪造或XSRF。 XSRF与数据类型无关,而是请求源自不同的服务器。 http://www.owasp.org/index.php/XSRF
这是我写的XSRF漏洞利用POST请求: http://www.exploit-db.com/exploits/7922/ 此javascript用于在查看页面时自动触发表单:
<script>document.getElementById(1).submit();</script>
答案 2 :(得分:0)
您可能想要了解有关同源策略的更多信息,这是我发现的最佳文章:http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy