在 header 中使用 x-csrf 令牌使用 XSS 绕过 CSRF 保护
Use XSS to Bypass CSRF protection with x-csrf token in header
我发现一个网页存在XSS漏洞,我想利用XSS漏洞绕过CSRF保护。
但是,CSRF保护方法是在请求header中使用x-csrf-token,而不是在响应header中使用x-csrf-token。
有没有绕过CSRF保护的方法
- 尝试解码 CSRF 令牌,可以使用 MD5、SHA 等对其进行哈希处理
- 如果 cookie 中设置了 CSRF,尝试读取 cookie 并将其注入请求中。
- 尝试在页面的JS代码中找到CSRF token,然后在请求中注入。
我发现一个网页存在XSS漏洞,我想利用XSS漏洞绕过CSRF保护。
但是,CSRF保护方法是在请求header中使用x-csrf-token,而不是在响应header中使用x-csrf-token。
有没有绕过CSRF保护的方法
- 尝试解码 CSRF 令牌,可以使用 MD5、SHA 等对其进行哈希处理
- 如果 cookie 中设置了 CSRF,尝试读取 cookie 并将其注入请求中。
- 尝试在页面的JS代码中找到CSRF token,然后在请求中注入。