我正在制作一个书签,以便用户可以从任何页面使用CORS将域发布到我的服务器。用户必须在发布和使用cookie之前进行身份验证。有什么方法可以防止恶意网站将javascript代码嵌入其网页中,以使用用户的凭据跨域发布到我的服务器?
理论上,可能有解决方案。
此概念有一个缺陷:如果网站篡改了书签使用的任何功能(例如Array()),则恶意网站仍可能能够拦截,复制和/或修改消息,用户ID或CSRF令牌。
Array()