security - 绕过 Origin 标头检查和 CSRF 攻击
问题描述
我正在尝试在站点上进行一些 csrf 攻击测试。
我发现该站点通过检查 httpOrigin
标头来保护自己免受 csrf 的影响。
但我想也许在某些情况下我可以绕过保护。当我删除Origin
标头时,csrf 攻击成功。
这意味着服务器只检查 Origin heaer 的 csrf 保护并接受一个"none"
值。
请问有什么方法可以进行以下利用吗?
解决方案
推荐阅读
- java - jGRASP appletviewer 不工作(路径错误)
- c++ - 如何禁用 MPI 的 C++ 包装器?
- graphdb - 在 ontext graphdb 中删除 lucene 索引
- elasticsearch - ElasticSearch:在包含文档的日期范围中查找不同日期的最佳方法是什么?
- kendo-ui - kendo-ui angular 6 如何使用模板自定义网格的列
- azure-devops - 如何为 repo 的 wiki 创建构建管道?
- angular - canActivated 保护的返回值错误
- android - 为什么 Android Studio 显示 Code xml 像“� �”
- angular - angular 6 / ngx-translate 和动态 devextreme dxDatagrid 列
- node.js - Node.js“无法读取未定义的属性'长度'