CSRF風險和令牌

我有一個將表單注入到另一個服務器的網頁的書籤。該表單通過JSONP使用jQuery將數據提交回我的服務器，並將提交的數據添加到數據庫中。CSRF風險和令牌

問：這種注射的形式也包含在一個隱藏字段一個CSRF令牌：

<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">

請問這仍然構成CSRF風險？

2012-12-07 Nyxynyx

你是如何生成令牌的？ – meagar

令牌由我的PHP框架生成並存儲在會話cookie中。 http://laravel.com/docs/views/forms#csrf-protection – Nyxynyx

頁面仍然可以被抓取並遠程提交。這是一種威懾，但不是絕對的解決辦法。它會停止鏈接，但有人可以遠程發佈表單。

您也可以檢查引用鏈接，但有些客戶端和防火牆阻止發送引薦鏈接。

一個解決方案是通過提交js來設置cookie，然後驗證服務器端。

2012-12-07 03:22:46 deyes

您的意思是用戶使用我的書籤的網站可以以注入的形式刮擦CSRF令牌，並執行CSRF攻擊？ – Nyxynyx

我想我必須知道更多，以瞭解你想要解決什麼問題，但令牌可以從輸入中檢索並通過除表單之外的其他方式傳遞。 – deyes

回答