2 回答
TA贡献1780条经验 获得超3个赞
如果它显示登录表单,那将是对站点 B 的潜在 CSRF 攻击。
让我们假设用户重复使用他们的密码,这不是一个强有力的假设,很多人都这样做。如果站点 A 包含来自基本身份验证站点 B 的图像,则用户会认为站点 A 正在请求他们的密码。如果它与站点 B 上的相同,他们将登录到站点 B 而没有任何意图。从那时起,由于基本的身份验证信息一直持续到浏览器关闭,站点 A 可以对站点 B 执行常规 CSRF(当然,除非有保护,应该有,因为用户也可能故意登录到 B )。
即使在站点 B 上有进一步的 CSRF 保护,如果在您的场景中显示登录弹出窗口,它也会使 http 基本身份验证天生容易受到登录 csrf 的攻击。
TA贡献1836条经验 获得超4个赞
登录弹出窗口不显示在<img>
标签中,弹出窗口将显示在<iframe>
示例中:<iframe src="https://httpbin.org/basic-auth/user/passwd">
为什么其他域不起作用?这是因为其他域具有“跨域”策略(查看响应标头)。
例如:您提供的链接“ https://httpbin.org/basic-auth/user/passwd ”,有Access-Control-Allow-Origin:*这里*表示这个域允许每个人获取数据。检查您的域“B”标头响应是否具有“Access-Control-Allow-Origin”。
基本上域“B”需要有 header =“Access-Control-Allow-Origin:*”,才能工作。
- 2 回答
- 0 关注
- 114 浏览
添加回答
举报