有人可以证实这一点:我是否需要在提交表单中提供CSRF标记和Captcha,或者两个或多个服务于相同的功能(一个可以用来代替另一个)?是否都需要csrf标记和验证码?
23
A
回答
21
验证码可以用来代替CSRF令牌。这包括在OWASP CSRF Prevention Guide。验证码被认为是CSRF预防的一种更强的形式,因为它不能被XSS绕过。
0
是的,我错了。验证码和令牌都是会话绑定的。
但是我仍然没有看到这个问题。
您不能在网站上的每个表单中使用CAPTCHA。它会让用户疯狂和离开。
因此,为什么不为默认的每个表单设置一个标记,并为选定的标记设置CAPTCHA?
+2
要求交互式用户输入防止XSRF;因为验证码需要交互式用户输入,所以它们可以用来防止XSRF,就像令牌一样。 – erickson 2010-09-27 18:52:15
相关问题
- 1. 验证是否需要TCP?
- 2. 验证之前验证是否需要验证?
- 3. 是否需要输入验证?
- 4. 是否需要验证$ _SERVER ['REMOTE_ADDR']?
- 5. SubmitField是否需要验证器?
- 6. MongoDB选择器是否需要验证?
- 7. 是否需要验证函数参数?
- 8. 我们是否需要针对每个POST请求进行CSRF验证?
- 9. 是否需要CSRF保护以防OAUTH2
- 10. 我是否需要WinForms的CSRF令牌?
- 11. 我需要把验证码?
- 12. 是否需要关键字元标记?
- 13. JavaDoc中是否需要作者标记?
- 14. Nodejs - 是否需要解码身份验证令牌?
- 15. ajax加载的表单是否需要验证码
- 16. django CSRF验证
- 17. 需要验证
- 18. WCF - 是否需要验证客户端的服务证书?
- 19. 我是否需要重新验证Bing地图凭证?
- 20. 您是否需要关闭HTML中的元标记和链接标记?
- 21. 烧瓶和csrf标记
- 22. 要验证模拟,是需要验证的返回
- 23. 如何在jQuery验证插件中传递Django csrf标记?
- 24. CSRF验证失败
- 25. CSRF令牌验证
- 26. CSRF Codeigniter 3验证
- 27. 需要jQuery验证
- 28. NOAUTH需要验证
- 29. HTML5需要验证
- 30. 需要jQuery验证
这是一个很好的问题,它取决于CSRF的基本原理。 – rook 2010-10-19 19:07:22