如果我对CSRF安全,我对垃圾邮件安全吗?

时间:2010-11-03 00:14:55

标签: spam-prevention csrf

我已经阅读了很多关于垃圾邮件预防的内容,这是一个明显的解决方案,不断被建议:

  

使用令牌并将其放入会话中   并将其添加到表单中。如果   令牌未随表单一起提交   或者不匹配则自动化   并且可以忽略。

来源:https://webmasters.stackexchange.com/questions/3588/how-do-spambots-work

这基本上是为了保护自己免受CSRF的影响。

所以我的问题是,spambots完全依赖于融合CSRF的方法吗?他们是否真的发送重复的POST请求而没有实际请求页面弄清楚表单中嵌入的隐藏令牌是什么?这看起来几乎可疑太容易停止,我持怀疑态度。任何人都有这方面的具体信息吗?

1 个答案:

答案 0 :(得分:1)

想象一下访问随机网址的抓取工具,如果它看到表单,则填充并提交。在这种情况下,只要在页面加载时生成令牌,就会自动接受令牌。

所以,作为一个额外的防守 - 放置强硬的CAPTCHA。