Une attaque CSRF peut-elle avoir un moyen direct d'accéder ou de manipuler les variables javascript de son site cible?

javascript
jquery
csrf

2010-07-23 1 views 0 likes

Ouvre-t-il un vecteur d'attaque si un site piloté par ajax utilise un jeton unique stocké comme variable javascript et le vérifie à chaque requête pour empêcher CSRF - à condition que le site soit exempt de trous XSS?Une attaque CSRF peut-elle avoir un moyen direct d'accéder ou de manipuler les variables javascript de son site cible?

Source

2010-07-23 Greg

Répondre

Il ne l'ouvre pas pour attaquer. Si le site est exempt de trous XSS, il est impossible qu'une autre page puisse obtenir le jeton à partir d'une variable javascript.

Source

2010-07-23 14:54:31 Maz

Questions connexes

1. Un élément de liste SharePoint peut-il avoir son audience cible calculée ou spécifiée automatiquement?
2. Détournement de session ou attaque?
3. Y at-il un moyen de manipuler la position de la souris avec jQuery ou javascript
4. javascript: tableau de variables ou variables séparées?
5. iphone - un moyen de manipuler l'audio enregistré?
6. Demande multiple 404 sur notre site. Est-ce une attaque ou un faux robot d'indexation?
7. Existe-t-il un moyen de manipuler le code généré par Processing.js via Javascript?
8. cible Makefile dépendent de fichier de variables
9. attaque XSS avec javascript img src attribut
10. Comment manipuler le son entrant de skype
11. Attaque XSS sur le site ASP.NET
12. Existe-t-il un moyen JavaScript simple de manipuler des URL arbitraires?
13. REST et CSRF (Cross-Site Request Forgery)
14. JavaScript manipuler problème de chaîne
15. prologue, attaque de chevalier
16. Existe-t-il un moyen de créer une exception dans la protection django 1.0 csrf?
17. Comment manipuler les valeurs de champs de formulaire en javascript
18. Existe-t-il un problème de sécurité lié à l'utilisation de javascript pour manipuler les cookies?
19. Wordpress Attaque SQL ... Inconnu Javascript est trouvé sur chaque message
20. personnalisé, manipuler la zone de texte (comment modifier son apparence)
21. Modèle de déploiement ASP .NET pour un site en direct
22. Ajout de son dans un site Web
23. S'agit-il d'une sécurité de sécurité, XSS ou CSRF?
24. Site de streaming vidéo en direct
25. Site Web pour les tests en direct de HTML/JS
26. JavaScript pour manipuler Copié Texte
27. Déchiffrement de cette attaque XSS
28. java variables locales - comment obtenir un nom ou un type de variable en utilisant son index
29. cible iphone pourrait inclure son propre produit
30. Existe-t-il un moyen d'utiliser la méthode drawWindow() sur un site Web en direct?