标签: security web xss csrf csrf-protection
我正在尝试在网站上进行一些csrf攻击测试。 我发现该站点通过检查http Origin标头来保护自己免受csrf攻击。
Origin
但是我想也许在某些情况下我可以绕过保护措施。当我删除Origin标头时,csrf攻击成功。 这意味着服务器仅检查Origin heaer以获得csrf保护并接受"none"值。
"none"
请问有什么方法可以利用以下漏洞?