Je suis actuellement en train de mettre en place une protection CSRF dans mon framework (PHP).
Cependant, je me demande :
Ne serait-il pas possible pour un attaquant de charger ma page dans une iframe (cachée) (en obtenant le jeton) et de modifier certaines données en utilisant JavaScript ?
Et après cela, soumettre le formulaire ?
À moins que la page de l'attaquant n'ait le même domaine, le même protocole et le même port que la vôtre (si c'est le cas, vous avez probablement des problèmes plus graves), il ne pourra pas lire les données de l iframe s HTML à cause de Politique de l'origine identique .
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
