CSRF: можно ли украсть данные JSON, возвращаемые запросом POST?

Могут ли данные JSON, возвращенные запросом POST, быть украдены атакой с подделкой межсайтового запроса?

security json csrf

27.12.2008 12:29

SQL Injection: Атаки в реальной жизни и как это вредит бизнесу

Один-единственный вредоносный запрос может нанести ущерб вашему бизнесу. Уязвимости вашего кода могут привести к:

659

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Это невозможно сделать с помощью JS, но я не уверен в междоменном запросе Flash.

В JS запрос POST может быть выполнен через формы и XMLHTTPRequest. Вы не можете увидеть результат междоменной формы, так что это безопасно. XHR запрещает междоменные запросы, так что это тоже безопасно.

Браузеры допускают междоменное включение скриптов через элемент <script>, но при этом используется только GET.

Но помните, что браузеры позволяют размещать сообщения в междоменных формах. Эту атаку нельзя использовать для чтения данных JSON. Но если у вашего действия POST есть побочный эффект, для запуска этого побочного эффекта можно использовать скрытый тег <form /> на другом сайте.

— 19.03.2011 23:26

27.12.2008 15:37