Я прочитал эту статью: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html
И я попытался использовать метод, но кажется, что он не работает (по крайней мере) в большинстве браузеров, которые я пробовал. Обычно вы возвращаете JSON на свой сайт, а кто-то другой выполняет
, а затем вы настраиваете свои собственные конструкторы объектов / массивов для кражи данные.
Это все еще возможно в современных браузерах? Следует ли мне использовать токены, чтобы предотвратить это?