看百度百科
http://baike.baidu.com/view/1609487.htm
攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。 红色的标记是啥意思能用简单的html结构写出来吗比如<img tag="www.xxx.com/xx.hmtl?a=xxx&b=xxx" src="xxxxxxxxxx" />
上面这个是不会发请求到www.xxx.com的
http://baike.baidu.com/view/1609487.htm
攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。 红色的标记是啥意思能用简单的html结构写出来吗比如<img tag="www.xxx.com/xx.hmtl?a=xxx&b=xxx" src="xxxxxxxxxx" />
上面这个是不会发请求到www.xxx.com的
其他的一些网站或者可以如果要用post方法就需要苦主去做一些动作,例如点击诸如此类
但总的来说这事可行性不高,尤其是银行,基本杜绝了
如果我有个网站a
里面有个隐藏的iframe src指向一个c站的接口 (比如这个接口是 返回一些数据)有个兄弟b
他成功登陆了c站
b访问我的站
然后就请求了c站的那个接口
但是返回的数据那是在那个iframe里面 我又不能操作这个iframe 也取不到数据啊
在说了 比较有用的接口都是post的 我始终想不明白 用户在我的站
不在iframe里面填写数据 不点提交 始终是无法 自动进行post提交的不明白呀 不明白
而且发送帐号由cookie读取……
你就完全写这个隐藏iframe src,未经来访者同意,就向t发钱了
你中间不用操作,get操作由浏览器完成但post就不同,浏览器不能自动完成post操作,需要一个中间步骤,如果制作一个中间步骤又涉及跨域cookie的问题,所以至少目前还是安全的,前提是别乱装插件和乱点击但如果能控制浏览器呢?假设做个浏览器(或者APP,呵呵,这下问题说大了),隐蔽地完成了中间步骤……
所以
1.网络产品需要诚信的生产商,要么开源,要么经有诚信的第三方(例如app商店)鉴定
2.偶是不用那个3721的后世产物的,因为已经对它的信任度完全丧失
3.各位用app还是小心点好,别看到好玩就装
他说的我感觉就是个错的........别说银行了
现在的一般的站 基本上都没有get 提交数据的
尽管现在很少get提交了,但他说的可能性仍然是存在的
更何况他下面还有关于post的表述