标签: php security csrf csrf-protection
我目前正在将CSRF保护实施到我的框架(PHP)中。
但是我想知道:
攻击者是否有可能将我的页面加载到(隐藏的)iframe(获取令牌)并使用JavaScript更改某些数据?
然后提交表格?
答案 0 :(得分:11)
除非攻击者的页面具有与您相同的域,协议和端口(如果是,您可能有更严重的问题),否则他们将无法读取iframe的HTML,因为{ {3}}
iframe