是否可以通过点击劫持漏洞执行CSRF?
假设我的网站完全受到csrf攻击的保护,但没有XFO,那么有没有办法通过点击劫持漏洞利用CSRF?
我听说xmlhttprequest它可以用来执行csrf,如果没有XFO但有csrf保护,那么任何想法?
答案 0 :(得分:0)
是的,如果没有X-Frame-Options响应标头,攻击者可以构建您的页面并使其透明,因此当受害者尝试单击攻击者网站上的按钮时(例如Click here to win an iPad)它们实际上与您的页面进行交互(例如Click here to Initiate Bank Transfer)。
这依赖于受害者已经通过目标站点进行身份验证,并且还依赖于站点上可用的单击操作。如果有一个表格要填写,不能通过参数的使用预填充,那么如果不欺骗受害者以某种方式完成这些特定攻击是不可能的。这使得clickjacking更多的是无参数形式的风险,或者只使用隐藏的输入或JavaScript变量。
有关详细信息,请参阅Clickjacking和Testing for Clickjacking上的OWASP页面。