letzte woche erzählt ihr uns noch, dass amazon das vermeiden kann,
indem es den x-frame-options header setzt.
jetzt heisst es, es reicht eine einfache einbindung perl bild.
das ist doch simpelstes CSRF.
wenn das in einem iframe aufgerufen wird, ist es schon längst zu
spät, wenn der browser den header sieht. da ist das kind schon in den
brunnen gefallen und der server hat den aufruf registriert.
um GET-requests vor CSRF zu schützen, muss man sich schon was anderes
einfallen lassen.
indem es den x-frame-options header setzt.
jetzt heisst es, es reicht eine einfache einbindung perl bild.
das ist doch simpelstes CSRF.
wenn das in einem iframe aufgerufen wird, ist es schon längst zu
spät, wenn der browser den header sieht. da ist das kind schon in den
brunnen gefallen und der server hat den aufruf registriert.
um GET-requests vor CSRF zu schützen, muss man sich schon was anderes
einfallen lassen.
