程序员经验分享-hwhale

何时需要使用令牌保护表单(CSRF 攻击)?

2023-12-26

据我了解,Web 开发人员应该创建令牌并将其放入表单的隐藏字段中以防止 CSRF 攻击。此外,他应该在会话中保存相同的令牌,然后在提交表单时检查令牌是否相等。

我开始质疑......是否有必要对所有形式都采用这种技术?我的意思是,想象一下为登录而创建的表单。如果没有 CSRF 保护,我看不到对站点和/或用户造成任何损害,因为用户没有权限(就像他登录时将拥有的权限一样)。注册也是如此...我说得对吗?

附:如果我错了,请解释一下这个概念。


一般来说,您希望在表单提交导致内容/状态发生更改时保护您的表单;无论是添加、删除、编辑还是与外部源共享(“在 xyz 上共享!”)。

您不需要保护的表单的一个示例是搜索框,因为它不会导致内容发生任何更改。

如果您不确定,任何会导致某些内容被保存/删除的表单(无论它是否在您的网站上)都应该受到保护。

如果您确实不确定,只需添加令牌即可,无需花费任何费用即可确保安全。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

php

Token

CSRF

何时需要使用令牌保护表单(CSRF 攻击)? 的相关文章

随机推荐

  • 在 JavaScript 中附加事件

    作为对此处问题之一的评论 一位评论者写道 强调我的 通过使用内联 onclick 您正在做类似的事情 但它更难维护并且更容易出现问题 整个 JavaScript 社区已经放弃内联 JavaScript 一段时间了 这是指使用以下方法将事件附

  • 优化图像 - 在 Java 中无损压缩图像

    拥有一个电子商务网站 我们有数千张产品图片 在谷歌上检查页面速度时 它向我显示了这样的内容 我想知道 Java 中是否有任何内置功能或任何第三方库可用 我们可以使用它们来无损压缩我们托管的所有图像 因此 我们可以为客户节省几KB 在互联网上

  • 一次性随机化

    我有一个矩阵 ECGsig 每行包含一个 1 秒长的 ECG 信号 我稍后会对它们进行分类 但我想随机更改行 例如 idx randperm size ECGsig 1 ECGsig ECGsig idx 但是我希望这种情况只发生一次 而不

  • 单击时我的 div 不会 SlideDown() 。

    我正在尝试在我正在组装的一个小网站上有一个下拉菜单 由于某种原因 我可以获取我想要向下滑动到 fadeOut 的 div 并执行其他类似的操作 但我无法将其获取到 SlideDown 我不知道为什么 上面有文字写着 菜单 jQuery 如下

  • 更改活动主题而不重新创建活动

    我有一个活动 在单击按钮时我想更改主题 但我发现主题只能设置一次 而且在 setContentView 之前也是如此 重新开始一项活动对我来说不是一个选择 也许使用 attrs 可以解决这个问题 但我不知道如何使用它 请帮忙 提前致谢 不

  • 如何在 Pygame 中移动 Sprite

    我试图让我的图像 鸟 在屏幕上上下移动 但我不知道该怎么做 这就是我尝试过的 我确定它已经消失了 但我试图弄清楚是否有人可以提供帮助伟大的 import pygame import os screen pygame display set

  • ggplot2:添加描述散点图两个维度的条件密度曲线

    我有来自两个类别的二维数据的散点图 我想为每个维度添加密度线 而不是在图之外 参见ggplot2 中带有边缘直方图的散点图 https stackoverflow com questions 8545035 scatterplot with

  • 不允许粘贴任何非字母数字字符

    我不希望用户允许在文本框中粘贴任何非字母数字字符 我如何在 Javascript 中限制这个 谢谢 使用 jQuery 这是一种方法 HTML

  • SQL 查询与 PHP 中的条件

    如果我们有一个大约 1000 2000 个元素的数组 以及一个大约 1000 2000 个元素的 mysql 表 可以增加 我们必须确定表内容是否在数组中 哪种方法更好 从数组中获取元素并运行简单的 mysql 查询 例如SELECT WH

  • Java 堆空间 - -Xmx 到底如何工作?

    我遇到过臭名昭著的人内存不足异常在我的应用程序中 我不是简单地增加可用的堆空间量 而是尝试调查问题所在 以防万一 我的应用程序出现某种泄漏 我添加了JVM参数 XX HeapDumpOnOutOfMemoryError当遇到 OutOfMe

  • 无限滚动插件使用自定义查询修改路径

    我正在使用无限滚动插件 无限滚动 https github com paulirish infinite scroll 与 jQuery 同位素 并想知道当用户向下滚动页面以查看更多项目时是否可以使用自定义查询参数修改路径 有没有一种方法可

  • 请求和处理用户授权之间的会话更改

    我正在尝试实现一个简单的登录页面 将用户重定向到 OAuth2 0 登录服务器 然后在成功登录后返回到回调 URL 但是我不断收到异常并显示错误消息 收到意外的 OAuth 授权响应以及回调 客户端状态与预期值不匹配 通过调试 我注意到调用

  • 向 MS Access 查询添加汇总行

    我有一个存储在 MS Access 中的查询 它正在从 Access 表中进行标准选择 我想在末尾添加一个汇总行 显示上面一些数据的总和 我看过 DSum 但它不合适 因为我必须包含每行的运行总计 而不是仅包含末尾 另请注意 我不想对 a

  • 不在声明中时的数组初始化语法

    我可以写 AClass array object1 object2 我还可以写 AClass array new AClass 2 array 0 object1 array 1 object2 但我不能写 AClass array arr

  • 提供的 og:image 在 Facebook linter 中不够大

    我正确设置og image在我的网站上 facebook linter 看到了它 脸书调试器 https developers facebook com tools debug og object q www zaerus com br但是

  • .NET System.Net.Mail.SmtpClient 类不会向 SMTP 事务发出 QUIT 命令

    有人遇到过这个问题吗 如果是这样 你如何解决它 我们遇到了零星的超时问题 这受到了指责 这里也报告了同样的问题 http www vbforums com showthread php p 3609268 http www vbforums

  • 如何隐藏/禁用以前聊天中的自适应卡片按钮?

    我正在使用 Bot Framework Net SDK v4 自适应卡 v1 2 我使用瀑布设计在瀑布的每一步中显示卡片 但用户可以单击之前显示的卡片中的按钮 这使得机器人看起来很愚蠢 如何在 C 机器人框架中禁用 隐藏以前聊天中的自适应卡

  • 使用 REST API 使用 Eureka 作为注册表

    我们已经在 Spring Boot 应用程序中使用 Eureka 几个月了 我们已经启用了应用程序之间的服务查找 使用 DiscoveryClient注释 注册 租约续订和注销均按预期进行 最近 我们遇到了一个场景 我们有非 Java 应用

  • 使数据库在测试时确定性地失败

    我有一个 Java 应用程序 它使用了很多java sql Connection到数据库 我想测试一下 如果数据库不可用 我的服务会返回适当的错误代码 区分临时问题和永久问题 例如 HTTP 500 和 503 为了进行测试 我的应用程序连

  • 何时需要使用令牌保护表单(CSRF 攻击)?

    据我了解 Web 开发人员应该创建令牌并将其放入表单的隐藏字段中以防止 CSRF 攻击 此外 他应该在会话中保存相同的令牌 然后在提交表单时检查令牌是否相等 我开始质疑 是否有必要对所有形式都采用这种技术 我的意思是 想象一下为登录而创建的

热门标签