恶意网站难道不能使用xss cookie窃取读取cookie并将其放入ajax请求的标头中吗?
当然,如果站点易受xss攻击,它也易受csrf攻击,但这是较小的问题。
但是,如果没有xss,则由于同源策略,攻击者无法读取令牌。
恶意网站难道不能使用xss cookie窃取读取cookie并将其放入ajax请求的标头中吗?
当然,如果站点易受xss攻击,它也易受csrf攻击,但这是较小的问题。
但是,如果没有xss,则由于同源策略,攻击者无法读取令牌。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium