0
ajax 기반 사이트에서 javascript 변수로 저장된 고유 토큰을 사용하고 CSRF를 방지하기위한 모든 요청에 대해 확인하는 경우 공격 벡터가 열리지 않습니까? 사이트에 XSS 구멍이없는 경우?CSRF 공격이 대상 사이트의 javascript 변수를 직접 조작하거나 조작하는 직접적인 방법이있을 수 있습니까?
A
답변
1
공격으로 열리지 않습니다. 사이트에 XSS 구멍이 없으면 다른 페이지에서 javascript 변수의 토큰을 가져올 수 없습니다.