【发布时间】:2011-05-04 18:33:42
【问题描述】:
Google 生成的提要包含一条奇怪的评论:
<!-- Content-type: Preventing XSRF in IE. -->
例如,您可以在this 提要顶部附近看到它。任何人都可以解释该评论的目的吗?
【问题讨论】:
标签: internet-explorer csrf feed atom-feed
Google 生成的提要包含一条奇怪的评论:
<!-- Content-type: Preventing XSRF in IE. -->
例如,您可以在this 提要顶部附近看到它。任何人都可以解释该评论的目的吗?
【问题讨论】:
标签: internet-explorer csrf feed atom-feed
这似乎是黑客新闻asked and answered this question 上的benhoyt。
我刚刚收紧了我们即将推出的 microPledge 网站 -- http://micropledge.com -- 以防止跨站点请求伪造 (CSRF)。我为每个表单添加了一个随机 SHA 作为表单键。 但!然后我发现了这个可爱的 IE 安全漏洞。攻击者可以使用跨域 JavaScript 和 mhtml:redirect 来抓取页面,获取表单密钥,然后执行 POST。杰出的!有人有解决这个问题的经验吗?
...
IE 将 MHTML 文档的第一部分解析为 HTTP 样式的标题,因此,如果您在页面开头有一个 HTML 注释,其中“Content-Type:Something crazy”后跟一个空行,则可以修复它。
【讨论】:
XSRF(有时是 CSRF)是跨站请求伪造:read more
【讨论】: