没有身份验证的网站是否容易受到CSRF攻击?

时间:2012-03-23 15:06:47

标签: authentication web-applications csrf

我刚开始学习CSRF。 根据{{​​3}}

CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated

如果某个网站不接受任何用户身份验证,或者如果身份验证信息未存储在Cookie中,那么这意味着它不容易受到CSRF的攻击。<​​/ p>

我开发了一个网站,要求用户输入他的票证信息,检查信息与数据库,如果正确的用户将被导航到他需要提供他的信用卡信息的页面,他的记录将被更新。我需要担心CSRF吗?或者票证信息本身被视为身份验证?

1 个答案:

答案 0 :(得分:2)

如果您的网站使用允许用户执行特权操作的会话,则必须担心跨站点请求伪造。因为我假设你创建了一个会话属性,表明用户的票证信息是有效的,是的,你做了。