我有一个允许用户注册我的网站的HTML表单,我最近在网页上安装了reCAPTCHA以停止自动注册。今天有人说他们认为你的注册存在csrf攻击的风险。我不是一个编码器或任何我只是运行一些小网站的东西,所以我查了一下,但所有的例子都是用于网站操作之类的东西,但我的表单唯一能做的就是输入数据库。我的表格有风险吗? 如果我处于危险之中会有一个简单的标记阻止这种情况发生吗?
我无法在此处发布代码,因此表单代码位于http://pastebin.com/rLxAAMFQ
答案 0 :(得分:5)
如果你的服务器端代码总是要求有效的CAPTCHA(它应该),那么这里绝对没有风险。 CAPTCHA还具有双重职责作为反CSRF令牌。
CSRF攻击围绕着这样一个事实,即攻击者提前知道如何构建一个如果受害者发送将被视为有效的请求。显然他们无法提前预测验证码是什么,否则我们现在都会在街头杀死垃圾箱。