据我了解,Web 开发人员应该创建令牌并将其放入表单的隐藏字段中以防止 CSRF 攻击。此外,他应该在会话中保存相同的令牌,然后在提交表单时检查令牌是否相等。
我开始质疑......是否有必要对所有形式都采用这种技术?我的意思是,想象一下为登录而创建的表单。如果没有 CSRF 保护,我看不到对站点和/或用户造成任何损害,因为用户没有权限(就像他登录时将拥有的权限一样)。注册也是如此...我说得对吗?
附:如果我错了,请解释一下这个概念。
一般来说,您希望在表单提交导致内容/状态发生更改时保护您的表单;无论是添加、删除、编辑还是与外部源共享(“在 xyz 上共享!”)。
您不需要保护的表单的一个示例是搜索框,因为它不会导致内容发生任何更改。
如果您不确定,任何会导致某些内容被保存/删除的表单(无论它是否在您的网站上)都应该受到保护。
如果您确实不确定,只需添加令牌即可,无需花费任何费用即可确保安全。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)