我正在使用一些函数在我的php代码中保护csrf,
但我有一个问题。
我已经在管理区域的登录表单中使用过它们,以管理区域的形式存在它们是否重要?
我在管理区域有很多表单可以进行管理工作,但是他们没有csrf令牌生成器。
我的问题是,是否需要在管理区域的内部页面中生成csrf令牌?
答案 0 :(得分:1)
是的!将它们用于登录页面的内部页面更为重要。
针对您的登录页面的CSRF攻击可能导致用户以他们不希望以其登录的人身份登录。
针对您(例如)删除用户页面的CSRF攻击可能导致用户(管理员)在他们不期望的时候删除他们的帐户。