【问题标题】:What is 'Content-type: Preventing XSRF in IE' for?什么是“内容类型:防止 IE 中的 XSRF”?
【发布时间】:2011-05-04 18:33:42
【问题描述】:

Google 生成的提要包含一条奇怪的评论:

<!-- Content-type: Preventing XSRF in IE. -->

例如,您可以在this 提要顶部附近看到它。任何人都可以解释该评论的目的吗?

【问题讨论】:

    标签: internet-explorer csrf feed atom-feed


    【解决方案1】:

    这似乎是黑客新闻asked and answered this question 上的benhoyt。

    我刚刚收紧了我们即将推出的 microPledge 网站 -- http://micropledge.com -- 以防止跨站点请求伪造 (CSRF)。我为每个表单添加了一个随机 SHA 作为表单键。 但!然后我发现了这个可爱的 IE 安全漏洞。攻击者可以使用跨域 JavaScript 和 mhtml:redirect 来抓取页面,获取表单密钥,然后执行 POST。杰出的!有人有解决这个问题的经验吗?

    ...

    IE 将 MHTML 文档的第一部分解析为 HTTP 样式的标题,因此,如果您在页面开头有一个 HTML 注释,其中“Content-Type:Something crazy”后跟一个空行,则可以修复它。

    【讨论】:

      【解决方案2】:

      XSRF(有时是 CSRF)是跨站请求伪造:read more

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2010-10-03
        • 2015-08-10
        • 1970-01-01
        • 1970-01-01
        • 2011-07-13
        • 1970-01-01
        相关资源
        最近更新 更多