我有这个表格
<form>
//code
<input type="hidden" value="gfth35rfer43556thgrth8678gbfgb" name="csrf">
</form>
令牌对每个用户都是唯一的。现在假设攻击者已登录并打开此页面。现在,他知道当前会话令牌是什么,通过复制攻击者上方的值具有身份验证令牌。他可以轻松攻击我的网站。该程序如何防止csrf攻击?
答案 0 :(得分:2)
假设:
CSRF保护的目的是阻止Mallory欺骗Alice提交Mallory提供的数据(使用Alice的用户凭证)。
由于Alice和Mallory有不同的令牌,Mallory不能只是“复制上面的值”。
不能阻止Mallory使用自己的凭据提交数据。要解决这个问题,您需要决定给不同用户多少信任。