我需要处理使用Jekyll构建的静态网站的查询表单。防止使用查询表格的静态网站(即Jekyll网站)针对JSONP请求伪造JSONP请求
查询表单向另一个处理请求的域上的PHP应用程序提交JSONP请求(GET)。
是否可以防止CSRF,因为表单将是静态的?
我注意到了PHP Slim Framework的CSRF中间件只能保护POST,PUT & DELETE方法,而不是GET。
如果我在静态站点中创建脚本,那么每个页面上的表单加载的服务器请求的数据(cookie值,csrf标记以及字段值等)可以工作吗?
感谢您的时间对CSRF
你想要保护什么?如果用户没有以任何方式进行身份验证,则提供CSRF保护没有任何好处。是这样吗? – SilverlightFox
这是正确的,用户没有被认证。 – Globalz
没有必要保护CSRF,因为表单在当前用户的上下文中没有获得任何东西 - 如果攻击者想要在您的网站上提交表单,则不需要“跨站点”。他们只会提交它。听起来好像你在使用CAPTCHA来防止机器人提交表单(如果这就是你真正的追求?)。 – SilverlightFox