手机应用程序易受XSS或CSRFicon攻击吗?
只有当客户端自动提供Cookieicon或其他身份验证机制时,才会发生CSRF攻击。也就是说,客户端可以访问来自多个域的Cookie,例如浏览器为访问的每个站点存储Cookie。
然而,包含网页查看器(web viewer)的移动应用程序通常只有自己系统的Cookie。Cookie不会与使用相同web查看器控件的其他应用程序共享。从文件系统加载的任何东西也会彼此隔离:Android和iOS都有安全控制,所以App应用程序不能读取其他应用程序的数据。
因此,CSRF不太可能出现在移动应用程序中。
XSS仍然可能是一个问题,因为在启用了JavaScript的应用程序显示的网页中,如果存在这样的缺陷,就可能导致JavaScript代码执行,就像在web浏览器中一样。
