history.go(-1) 的安全隐患

作者:vkvi 来源:千一网络(原创) 日期:2017-4-16

其实这个安全隐患类似于 CSRF

比如我们有页面 Cftea.aspx,其中有一个按钮,点击后执行:history.go(-1),用户在使用这个页面。

攻击者可以自己做一个欺骗页面,放在自己的服务器上,然后将这个欺骗页面交给用户,用户点击后,自动跳转到 Cftea.aspx,用户一看,咦,这是我在使用的页面,里面的数据都是我登录才看得到的数据,不可能是欺骗页面(的确也不是),就在其中操作了,然后点了按钮,就执行 history.go(-1),又退回到那个欺骗页面,此时用户已经放松了警惕,如果此时这个欺骗页面弹出一个登录框,用户很可能中招去输入密码。

你前面那位网友看了:创建的对象去哪里了?

▲▲▲嘿,欢迎转载传播本站原创文章,尽量保留来源噢。▲▲▲

文章评论
赞助商们
vkvi
vkvi

作者简介: vkvi,致力于 .NET Web 开发、移动开发的技术推广,在 .NET、SQL Server、Windows Server 等方面有深入研究和丰富经验,10 年间共计撰写文章 4000 余篇。 主持金融、国土、农业、电商等多个行业项目执行, 推行“技术提升生产力、人心决定成功率”的管理理论。 联系他