Ich bin gerade dabei, CSRF-Schutz in mein Framework (PHP) zu implementieren.
Aber ich frage mich:
Wäre es nicht möglich, dass ein Angreifer meine Seite in einen (versteckten) iframe lädt (das Token erhält) und einige Daten mit JavaScript ändert?
Und danach das Formular abschicken?
Wenn die Seite des Angreifers nicht dieselbe Domain, dasselbe Protokoll und denselben Port hat wie Ihr (falls dies der Fall ist, haben Sie wahrscheinlich ernstere Probleme), können sie den HTML-Code iframe wegen Gleiche Ursprungsrichtlinien .
Tags und Links php security csrf csrf-protection