有人可以證實這一點:我是否需要在提交表單中提供CSRF標記和Captcha,或者兩個或多個服務於相同的功能(一個可以用來代替另一個)?是否都需要csrf標記和驗證碼?
23
A
回答
21
驗證碼可以用來代替CSRF令牌。這包括在OWASP CSRF Prevention Guide。驗證碼被認爲是CSRF預防的一種更強的形式,因爲它不能被XSS繞過。
0
是的,我錯了。驗證碼和令牌都是會話綁定的。
但是我仍然沒有看到這個問題。
您不能在網站上的每個表單中使用CAPTCHA。它會讓用戶瘋狂和離開。
因此,爲什麼不爲默認的每個表單設置一個標記,併爲選定的標記設置CAPTCHA?
+2
要求交互式用戶輸入防止XSRF;因爲驗證碼需要交互式用戶輸入,所以它們可以用來防止XSRF,就像令牌一樣。 – erickson 2010-09-27 18:52:15
相關問題
- 1. 驗證是否需要TCP?
- 2. 驗證之前驗證是否需要驗證?
- 3. 是否需要輸入驗證?
- 4. 是否需要驗證$ _SERVER ['REMOTE_ADDR']?
- 5. SubmitField是否需要驗證器?
- 6. MongoDB選擇器是否需要驗證?
- 7. 是否需要驗證函數參數?
- 8. 我們是否需要針對每個POST請求進行CSRF驗證?
- 9. 是否需要CSRF保護以防OAUTH2
- 10. 我是否需要WinForms的CSRF令牌?
- 11. 我需要把驗證碼?
- 12. 是否需要關鍵字元標記?
- 13. JavaDoc中是否需要作者標記?
- 14. Nodejs - 是否需要解碼身份驗證令牌?
- 15. ajax加載的表單是否需要驗證碼
- 16. django CSRF驗證
- 17. 需要驗證
- 18. WCF - 是否需要驗證客戶端的服務證書?
- 19. 我是否需要重新驗證Bing地圖憑證?
- 20. 您是否需要關閉HTML中的元標記和鏈接標記?
- 21. 燒瓶和csrf標記
- 22. 要驗證模擬,是需要驗證的返回
- 23. 如何在jQuery驗證插件中傳遞Django csrf標記?
- 24. CSRF驗證失敗
- 25. CSRF令牌驗證
- 26. CSRF Codeigniter 3驗證
- 27. 需要jQuery驗證
- 28. NOAUTH需要驗證
- 29. HTML5需要驗證
- 30. 需要jQuery驗證
這是一個很好的問題,它取決於CSRF的基本原理。 – rook 2010-10-19 19:07:22