我有一个书签,可以将表单注入另一个服务器的网页。此表单使用jQuery通过JSONP将数据提交回我的服务器,将提交的数据添加到数据库中。
问题:此注入表单还在隐藏字段中包含CSRF令牌:
<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">
这仍会造成CSRF风险吗?
答案 0 :(得分:0)
页面仍然可以被抓取并远程提交。这是一种威慑,但不是绝对的解决方案。它会停止链接,但有人可以远程发布表单。
您也可以检查引荐来源,但有些客户端和防火墙会阻止发送引荐来源。
一种解决方案是通过提交时的js设置cookie,然后验证服务器端。