¿Diferencia entre CSRF con flash y XHR?

Question

¿Diferencia entre CSRF con flash y XHR?

0

Cuando un sitio web utiliza el encabezado X-Requested-With en la solicitud, ¿por qué impide el CSRF?

Podemos explotarlo, pero solo con el csrf con un archivo flash y una redirección? ¿Por qué? ¿Hay alguna forma de explotarlo? ¿Te gusta CSRF con XHR simple? Algo como esto ...

req2 = new xmlHttpRequest();
    req2.open ("POST", "https://xxx.com/_/api/1.0/account/subscribe.json" false);
    req2.setRequestHeader("content-type", "application/x-www-form-urlencoded; "charset=UTF-8");
    req2.setRequestHeader("X-Requested-with", "XmlHttpRequest");
    req2.send

csrf

pregunta januu agrawal 01.10.2017 - 14:38

fuente

0 respuestas

Lea otras preguntas en las etiquetas csrf

Botín / abuso con el mecanismo de invitación de una aplicación web: ¿por qué? ¿Qué tipo de vectores de ataque son posibles debido a que Java está interconectado sin esperanzas con Android? [cerrado]