1つのWebアプリケーションには削除ボタンがあります。そのWebアプリケーションをクリックすると、GETリクエストが最初に実行され、トークンキー付きのPOSTフォームが返されます。 はいまたはいいえを選択すると、リソースが削除されます。CSRF攻撃 - 同じページでのGETとPOSTリクエスト
CSRF攻撃に対してこれをどのように達成できますか? iframeに隠された最初のリクエストを送信できますが、2番目のPOSTリクエストを送信するにはそのトークンが必要です。
CORSのためにAjaxが失敗します。
だから、1ページ
- 送信GETリクエスト
- 解析応答とトークン
- はCSRFをトリガするためにトークンをPOSTフォームを送信得る上でも可能です
GET後、クライアント側からは何も送信されませんが、応答にはX-CSRFヘッダーに従わないサーバーによって生成されたトークンが含まれます。私はそれをつかんで再送信する必要があります。最初のGETのソースを取得してトークンを見つける必要があります – ahelpyguy