未經認證的網站是否容易受CSRF攻擊？

Question

我剛開始學習CSRF。 按OWASP CSRF Article

CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated

如果一個網站不接受任何用戶的認證，或者認證信息不會存儲在cookie中意味着什麼，這是不容易受到CSRF。

我開發了一個網站，要求用戶輸入他的機票信息，用數據庫檢查信息，如果正確的用戶將被導航到他需要提供他的信用卡信息並且他的記錄將被更新的頁面。我需要擔心CSRF嗎？或者票據信息本身被認爲是認證？

Answer 1

如果您的站點使用允許用戶執行特權操作的會話，則您必須擔心跨站請求僞造。因爲我認爲你創建了一個會話屬性，指出用戶的票證信息是有效的，你可以。