読者です 読者をやめる 読者になる 読者になる

同一オリジンでのXSSを利用してCSRF対策を回避するデモを作った

どこにでもありそうだけど、確認のため作った。 同一オリジンにあるXSSを利用してiframeを生成、フォームに値をセットしてデータを送信する。 Github PagesがPOSTメソッドを受け付けないためGETになっているが、POSTでも同様なはず。

なお同一オリジンからリクエストを投げているので、正確にはこの攻撃はCSRF(クロスサイト……)ではない。