Ouvre-t-il un vecteur d'attaque si un site piloté par ajax utilise un jeton unique stocké comme variable javascript et le vérifie à chaque requête pour empêcher CSRF - à condition que le site soit exempt de trous XSS?Une attaque CSRF peut-elle avoir un moyen direct d'accéder ou de manipuler les variables javascript de son site cible?
0
A
Répondre
1
Il ne l'ouvre pas pour attaquer. Si le site est exempt de trous XSS, il est impossible qu'une autre page puisse obtenir le jeton à partir d'une variable javascript.
Questions connexes
- 1. Un élément de liste SharePoint peut-il avoir son audience cible calculée ou spécifiée automatiquement?
- 2. Détournement de session ou attaque?
- 3. Y at-il un moyen de manipuler la position de la souris avec jQuery ou javascript
- 4. javascript: tableau de variables ou variables séparées?
- 5. iphone - un moyen de manipuler l'audio enregistré?
- 6. Demande multiple 404 sur notre site. Est-ce une attaque ou un faux robot d'indexation?
- 7. Existe-t-il un moyen de manipuler le code généré par Processing.js via Javascript?
- 8. cible Makefile dépendent de fichier de variables
- 9. attaque XSS avec javascript img src attribut
- 10. Comment manipuler le son entrant de skype
- 11. Attaque XSS sur le site ASP.NET
- 12. Existe-t-il un moyen JavaScript simple de manipuler des URL arbitraires?
- 13. REST et CSRF (Cross-Site Request Forgery)
- 14. JavaScript manipuler problème de chaîne
- 15. prologue, attaque de chevalier
- 16. Existe-t-il un moyen de créer une exception dans la protection django 1.0 csrf?
- 17. Comment manipuler les valeurs de champs de formulaire en javascript
- 18. Existe-t-il un problème de sécurité lié à l'utilisation de javascript pour manipuler les cookies?
- 19. Wordpress Attaque SQL ... Inconnu Javascript est trouvé sur chaque message
- 20. personnalisé, manipuler la zone de texte (comment modifier son apparence)
- 21. Modèle de déploiement ASP .NET pour un site en direct
- 22. Ajout de son dans un site Web
- 23. S'agit-il d'une sécurité de sécurité, XSS ou CSRF?
- 24. Site de streaming vidéo en direct
- 25. Site Web pour les tests en direct de HTML/JS
- 26. JavaScript pour manipuler Copié Texte
- 27. Déchiffrement de cette attaque XSS
- 28. java variables locales - comment obtenir un nom ou un type de variable en utilisant son index
- 29. cible iphone pourrait inclure son propre produit
- 30. Existe-t-il un moyen d'utiliser la méthode drawWindow() sur un site Web en direct?