实验室：CSRF在其中推荐验证取决于存在的标题

1. 通过通过Burp套件的浏览器代理流量，登录到您的帐户，提交“更新电子邮件”表单，并在代理历史记录中找到结果请求。
2. 将请求发送到Burp Repeater并观察到，如果在推荐HTTP标题中更改域，则拒绝请求。
3. 完全删除引用标题并观察现在接受该请求。

4. 如解决方案中所述，创建和托管概念泄漏证明CSRF漏洞没有防御实验室。包括以下HTML来抑制引用标题：

   <元名称=“引用者”内容=“no-trafterer”>
5. 存储漏洞利用，然后点击“交付给受害者”以解决实验室。

Rana Khalil.

Michael Sommer