我读了几篇关于在表单中使用防伪令牌来防止CSRF攻击的文章。我了解攻击者可以使用点击链接,图片或其他任何内容的凭据创建http请求获取或发布到这些表单。
在登录表单中使用防伪令牌是否有任何优势?考虑到攻击者想要将信息提交给需要进行身份验证的html表单,如果攻击者是要进行身份验证的入口点,那么攻击者如何定位登录页面呢?
请注意,我使用的是Asp.Net MVC 4.
谢谢。
答案 0 :(得分:2)
在登录页面上放置防伪标记有助于缓解login CSRF。简而言之,攻击者欺骗受害者使用攻击者的凭据登录,然后攻击者可以查看受害者对帐户所做的任何更改(例如输入信用卡信息)。 / p>