• https://github.com/inaz2/steal-csrf-token-by-xss

どこにでもありそうだけど、確認のため作った。 同一オリジンにあるXSSを利用してiframeを生成、フォームに値をセットしてデータを送信する。 Github PagesがPOSTメソッドを受け付けないためGETになっているが、POSTでも同様なはず。

なお同一オリジンからリクエストを投げているので、正確にはこの攻撃はCSRF（クロスサイト……）ではない。