CORS و SOP دوستان شما در اینجا هستند. از آنجا که جاوا اسکریپت مورد نظر توسط http://127.0.0.1 میزبانی نمی شود ، از طریق SOP و قوانین پیش فرض برای CORS در مرورگرها اجرا خواهد شد. مانع از تبدیل جاوا اسکریپت از پاسخ خواندن شوید.

این بخش "خواندن" مهم است ، زیرا درخواست هنوز توسط نرم افزار شما ساخته و دریافت می شود. در نتیجه اگر درخواست شما به دلیل یک درخواست ساده ، تغییر حالت مهم را ایجاد کند ، ممکن است با مشکلاتی روبرو شوید. با کمک ، نشانه های CSRF شما را در مقابل چنین حملاتی محافظت می کنند.

این امر استفاده از خدمات محلی را برای مهاجمین سخت می کند ، اما غیرممکن نیست. روترهای ناامن و متداول با این کار مشکل دارند ، زیرا مواردی وجود داشته است که مهاجمان درخواست استفاده از روترهای کاربر را با استفاده از نقاط پایانی / اعتبار / سایر موارد دیگر جعل می کنند … Javascript را تصور کنید که در این بخش پایانی قرار دارد

 http: // admin: [email protected]/enable_remote_admin_access

حملات مانند این موفقیت آمیز بوده اند. یک مارک روتر رایج را تصور کنید که خود را در 192.168.1.1 در دسترس کاربران محلی قرار دهد ، کشتی هایی با نام کاربری / رمزعبور پیش فرض سرپرست مدیریت می شوند: مدیر ، از احراز هویت اصلی HTTP استفاده می کند و نمی کند. از محافظت CSRF در هر نقطه استفاده کنید. این نقطه پایانی خاص موضوعی است که می تواند تنظیمات روی روتر را تغییر داده و اجازه دهد از طریق اینترنت اداره شود. سپس مهاجم با آدرس IP کاربر تماس تلفنی می گرفت و سعی می کرد به روتر متصل شود.