尝试执行CSRF攻击的远程站点需要使用JSONP调用加载数据.(在页面中注入一个脚本块)如果您尝试进行JSONP调用并将脚本注入到您的网页中,则javascript vm会超时无法加载数据(因为while循环).所以攻击者无法看到数据.
这可确保只有匹配相同原始策略的客户端(通过正常的ajax调用加载数据)才能使用该数据,从而防止任何攻击者从远程站点访问数据.
尝试执行CSRF攻击的远程站点需要使用JSONP调用加载数据.(在页面中注入一个脚本块)如果您尝试进行JSONP调用并将脚本注入到您的网页中,则javascript vm会超时无法加载数据(因为while循环).所以攻击者无法看到数据.
这可确保只有匹配相同原始策略的客户端(通过正常的ajax调用加载数据)才能使用该数据,从而防止任何攻击者从远程站点访问数据.
京公网安备 11010802040832号 | 京ICP备19059560号-6 