如何防范特定的CSRF攻击？

Question

我要进入OWASP前10名名单 of 2007年和2010年。

我偶然发现了跨站点请求伪造(CSRF)，这通常被称为会话骑马，因为您让用户使用他的会话来满足您的愿望。

现在，解决方案是在每个url中添加一个令牌，并检查每个链接的令牌。

例如，要对产品x进行表决，url将是：

'http://mysite.com?token=HVBKJNKL'

这看起来是一个可靠的解决方案，因为黑客无法猜出令牌。

但我正在考虑以下场景(，我不知道是否有可能使用)：

创建一个带有隐藏iFrame或div的网站。之后，您可以使用普通的iFrame或ajax在其中加载我的网站。

当您将我的网站隐藏在您的网站中，并且用户有一个存储的会话时，可以执行以下操作。您可以从URLS中检索令牌，并且仍然可以执行所需的所有操作。

能不能做点这样的事。或者不可能跨域进行此操作。

Answer 1

您所描述的攻击明显违反了同一原产地政策。，如果是这样的话，不要使用继承特权。已经发现了许多绕行到同一来源的政策。解决这些问题的唯一方法就是让人们提出这样的问题。我敦促您尝试编写代码以绕过这个问题，即使它失败了。最坏的情况是你会学到一些重要的东西，最好的情况就是你会发现一个问题，把它发到布格特拉克上，然后办一个派对:)。Oah和每个人对bug的修复都会更安全。

XSS可用于绕过同一原产地策略为特定易受攻击站点提供的保护。XSS漏洞可用于使用XmlHttpRequest读取XSRF令牌。这里是一种开发工具，它可以实现这一点。

Answer 2

这种情况并不是真的可能，因为虽然他们可以将帧设置为http://mysite.com，但他们需要令牌才能使其帧为http://mysite.com?token=HVBKJNKL。如果他们有记号，那你就不安全了。