如何在屏蔽了GET请求,POST请求有跨域限制的情况下实现CSRF
现在遇到了一个测试网站,屏蔽了所有GET请求,POST请求有跨域限制。
http header中有一个token参数,但是实际上并没有校验token的值,即token为空也能通过。
但是必须有这个参数。
正常的请求头如下:
我想尝试实现CSRF,请问如何构造攻击页面?
这种跨域请求在服务器端做,不要想着浏览器,有安全问题,不允许跨域请求直接出错了
现在遇到了一个测试网站,屏蔽了所有GET请求,POST请求有跨域限制。
http header中有一个token参数,但是实际上并没有校验token的值,即token为空也能通过。
但是必须有这个参数。
正常的请求头如下:
我想尝试实现CSRF,请问如何构造攻击页面?
这种跨域请求在服务器端做,不要想着浏览器,有安全问题,不允许跨域请求直接出错了