Похоже, я неправильно понимаю CSRF неправильно?

После прочтения многих документов относительно CSRF, я все еще немного запутался. Поэтому я надеюсь, что кто-то может объяснить это мне:

  1. позволяет сказать, если у меня есть страница профиля, которая предназначена только для аутентифицированных пользователей, скажем, ABC.com/profile, который показывает мне всю свою личную информацию. Если я вошел в систему, то перейдите на сайт «Bad», можете ли этот сайт как-то получить и проанализировать страницу своего профиля? (Я проделал небольшой опыт, открывая консоль Firebug на другом сайте, затем запросите свою страницу профиля, и кажется, что, по крайней мере, я могу видеть все содержимое в «ответе» вкладке «Net», не имею Как получить этот контент и разбирать его, хотя. Но, возможно, это возможно?)

  2. Теперь предположим, что у меня на странице своего профиля форма, которая, конечно, имеет токен CSRF. Теперь, если злоумышленник может получить мою страницу Provule, он мог просто разобрать этот контент, получить токен, затем отправить поддельную форму?

  3. Теперь предположим, что 1 и 2 верны, что я должен сделать, чтобы предотвратить такие случаи?

7
задан mr1031011 1 September 2011 в 18:58
поделиться