我想知道登录和跨站点请求是否存在任何关系? 我的问题是,是否有网站没有登录需要但仍需要保护免受CSRF的影响?你能举个例子吗
答案 0 :(得分:0)
为了使CSRF有效,您的网站只需要能够以不需要显式身份验证或验证的方式代表某人行事。
通过自动登录Cookie在用户中签名是最受欢迎的CSRF攻击,但是简报订阅表格可能同样容易受到攻击,并且可能导致人们从您的系统接收不需要的电子邮件以确认其订阅。
所以要回答你的问题,虽然登录和CSRF是相关的,但它们并不是彼此独有的。
答案 1 :(得分:0)
CSRF攻击利用客户端请求的真实性,因为攻击站点能够伪造客户端代表客户端执行的请求,从而享受服务器对客户端请求的信任。因此,服务器假定来自客户端的任何请求都是控制客户端的用户的行为。 CSRF利用这种隐含的信任。
此时,客户端无需进行身份验证。虽然经过身份验证的用户通常具有攻击站点所针对的特权,但CSRF攻击的主要目标是在他们不知情的情况下代表用户发送任意请求。因此,目标站点也可以是您需要与攻击站点不同的发起者的任何站点(例如,民意调查,独特访问者,恶意活动等)。