È possibile rubare il codice sorgente tramite clickjacking, in modo che l'attaccante possa anche rubare i token CSRF?
Questo è un sito web di attacco dimostrativo:
<!DOCTYPE html>
<html>
</div>
<div draggable="true" ondragstart="test();">
<h3>DRAG ME!!</h3>
<script>
function test(){
var v1 = document.createElement('iframe');
v1.src = "http://demo.testfire.net/search.aspx?txtSearch="
v1.setAttribute("style", "opacity:0.5");
v1.setAttribute("border", "0");
v1.setAttribute("scrolling", "0");
v1.setAttribute("id", "pi");
document.body.appendChild(v1);
document.getElementById("pi").onload =function(){
alert(this.responseText);
}
}
</script>
</html>
Ora come puoi vedere sto cercando di rubare il codice sorgente con l'aiuto di una finestra di avviso. Ma non ci sono riuscito.
Cosa mi manca qui?