我们知道,浏览器的相同来源策略禁止async向外部来源的请求。此政策的目的是防止CSRF攻击。
但是我们仍然可以同步请求到国外,浏览器将获取目标网站的Cookie,然后CSRF再次发生。
经验值我们可以在黑客的网站中添加隐藏表单,然后自动将请求提交到目标网站。
那么这项政策是否必要?
答案 0 :(得分:0)
要关闭CSRF攻击,通常使用令牌,之后将对其进行检查。因此,具有隐藏形式的攻击站点不知道令牌,因为该令牌已放入外部网站的代码中。相同的原始策略将阻止读取外部站点的页面,因此您永远不会通过异步调用获得令牌