Czy ktoś może to potwierdzić: czy w formularzu zgłoszeniowym muszę podać zarówno token CSRF, jak i Captcha, czy też dwaj mniej lub bardziej obsługują tę samą funkcję (jedna może być używana zamiast drugiej)?Czy potrzebne są oba tokeny csrf i captcha?
Odpowiedz
Zamiast znacznika CSRF można użyć captcha. Jest to opisane w OWASP CSRF Prevention Guide. Captcha jest uważany za silniejszą formę zapobiegania CSRF niż sprawdzanie tokena lub referera, ponieważ nie można go ominąć za pomocą XSS.
+1. ** potrzebujesz ** tokenu CSRF, jeśli nie wyświetlasz obrazu Captcha w formularzu (na przykład, jeśli zezwolisz zalogowanym użytkownikom na wysyłanie bez konieczności captcha) ... – ircmaxell
@ircmaxell dobrze tak, myślałem, że to było ukryty. – rook
świetne informacje, dzięki wszystkim, którzy odpowiedzieli i skomentowali. – jblue
Tak, myliłem się. Zarówno captcha, jak i token są związane z sesją.
Jednak nadal nie widzę sensu w tym pytaniu.
Nie można używać CAPTCHA dla każdego formularza na stronie. To doprowadzi użytkowników do szaleństwa.
Zatem, dlaczego nie mieć tokena dla każdej formy domyślnie i CAPTCHA dla wybranych?
Wymaganie interaktywnego wprowadzania danych przez użytkownika zapobiega XSRF; Ponieważ captchas wymaga interakcyjnego wprowadzania danych przez użytkownika, można ich użyć do zapobiegania XSRF, tak jak tokeny. – erickson
- 1. Jak wygenerować tokeny CSRF w Expressie?
- 2. Jaka jest różnica między std :: string i std :: basic_string? I dlaczego oba są potrzebne?
- 3. Czy stare tokeny GCM są wyświetlane nawet po odinstalowaniu?
- 4. Czy naprawdę potrzebne są konstruktory rekordów Delphi?
- 5. Czy naprawdę potrzebne są tabele relacji?
- 6. bezpieczeństwo bezpieczne, aby wyłączyć tokeny csrf dla wywołań Json Rails?
- 7. Czy pliki dSYM są potrzebne podczas programowania?
- 8. Dlaczego potrzebne są Cygwin i MinGW?
- 9. Różne tokeny csrf na żądanie w ochronie wiosna
- 10. Czy są potrzebne parametry SVG, takie jak "xmlns" i "wersja"?
- 11. Szyny Token CSRF - czy wygasają?
- 12. Czy są dostępne rozwiązania CAPTCHA o otwartym kodzie źródłowym?
- 13. Captcha dla Japończyków i Chińczyków?
- 14. Czy wygasają żetony antyfirmatorskie ASP.NET MVC CSRF?
- 15. Jak tworzone są tokeny na okaziciela (OAuth2)?
- 16. Operator Java do sprawdzania, czy oba warunki są fałszywe, ale nie oba lub żaden
- 17. Email-ext i workflow/Pipeline - niektóre tokeny nie są rozszerzane?
- 18. Czy potrzebuję tokena CSRF dla jQuery .ajax()?
- 19. Czy WebDriverWait przesłania ImplicitlyWait, gdy są używane oba?
- 20. Żądania OAuth i Tokeny dostępowe
- 21. Czy są potrzebne pule wątków dla czystego kodu Haskella?
- 22. Czy Azure TableQuery wewnętrznie obsługuje tokeny kontynuacji?
- 23. Dlaczego potrzebne są narzędzia parsujące dla DSL?
- 24. Ajax, CSRF i DELETE
- 25. #ifdef i wyjaśnienie potrzebne
- 26. Kafka Quickstart: Jakie zależności są mi potrzebne?
- 27. Prevent CollapsingToolbarLayout upadek jeśli nie są potrzebne
- 28. Formularz bez tokena CSRF: jakie są zagrożenia
- 29. Jakie klucze są potrzebne do CNContactFormatter?
- 30. Dlaczego potrzebne są nagłówki Access-Control-Expose?
To jest dobre pytanie, to jest podstawa tego, czym jest CSRF. – rook