5up3rh3i'blog［提供有偿web代码安全审计服务］

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/23466639.html

qz的blog上：http://xss.betaslife.com/blog/?p=24

  在IE下，从站外来进行的大部分的CSRF攻击是无效的（直接访问的表单构造的POST请求除外），包括IMG,IFRAME等伪造请求。因为IE的安全 特性，无论是使用当前浏览器进程得到的cookie还是浏览器本地保存的cookie，隐私保护会拦截第三方站点的COOKIE。

今天测试了一下ie6/7确实都是这样的 图：

 我一直没有意识到这个错误，这个错误出现在我的blog ：http://superhei.blogbus.com/logs/12289653.html 里，当时测试可能是本地一个域测试的 根本没意识到这个问题， 所以不成功很有可能是这个原因导致的。:( 

这个给了我一个很大教训：测试一定要在实际里测试，另外别人的文章还是要自己测试后才行，我的文章都写了这么久了 都没人给我指出这个错误:(