CSRF происходит, когда пользователь заходит на веб-сайт, и пользователю предлагается посетить URL, который он не собирался нажимать. Поскольку браузер вошел в систему, действие происходит от имени пользователя без его ведома. URL-адрес может прийти по электронной почте - очень часто, или по ссылке, которую пользователь просматривает на другом веб-сайте. Это трудно суммировать в 600 символов - извините ... Это трудно объяснить даже веб-разработчикам. Лучше всего создать собственный URL-адрес CSRF-атаки на своем веб-сайте, чтобы полностью его понять.
тим, у вас есть виджет JavaScript, который должен запускать запрос к вашему веб-приложению, если и только если пользователь хочет щелкнуть по нему. Вы не хотите, чтобы этот запрос был уязвим для CSRF, поэтому вы пишете iframe на страницу. На основеправила наследования происхождения родительский сайт не сможет прочитать токен CSRF. Однако как насчет кликджек (илиlikejacking )? Из-за CSRF вы должны быть в пределах iframe и там длях-каркасные варианты не может помочь, и то же самое относится и крамка-Busters.
Атакующий собирается применитьМаска SVG фрейм после загрузки виджета. Эта маска сделает iframe невидимым. На этом этапе злоумышленник может либо изменить размер фрейма так, чтобы он соответствовал размеру страницы, либо сделать так, чтобы этот теперь невидимый фрейм следовал за курсором. В любом случае, когда пользователь нажимает в любом месте страницы, iframe получает событие click, и игра заканчивается.
Таким образом, существует двойственность, кажется, вы застряли между CSRF и Clickjacking. Какое лучшее решение (если есть) этой проблемы?