Google提供的Feed包含一个奇怪的评论:
<!-- Content-type: Preventing XSRF in IE. -->
例如,您可以在this Feed的顶部附近看到它。任何人都可以解释该评论的目的吗?
答案 0 :(得分:5)
对于黑客新闻asked and answered this question来说似乎是个好消息。
我刚刚收紧即将推出的microPledge网站http://micropledge.com - 以防止跨网站请求伪造(CSRF)。我添加了一个随机SHA作为每个表单的表单键。 但!然后我发现了这个可爱的IE安全漏洞。攻击者可以使用跨域JavaScript和mhtml:redirect来获取页面,获取表单密钥,然后执行POST。辉煌!任何人都有解决这个问题的经验吗?
...
IE将MHTML文档的第一部分解析为HTTP样式的标题,因此如果您在页面的开头有一个HTML注释,其中包含“Content-Type:Something crazy”,后面跟一个空行,则会修复它。
答案 1 :(得分:0)
XSRF(有时是CSRF)是跨站点请求伪造:read more