有人可以证实这一点:我是否需要在提交表单中提供CSRF标记和Captcha,或者两个或多个服务于相同的功能(一个可以用来代替另一个)?是否都需要csrf标记和验证码?
23
A
回答
21
验证码可以用来代替CSRF令牌。这包括在OWASP CSRF Prevention Guide。验证码被认为是CSRF预防的一种更强的形式,因为它不能被XSS绕过。
0
是的,我错了。验证码和令牌都是会话绑定的。
但是我仍然没有看到这个问题。
您不能在网站上的每个表单中使用CAPTCHA。它会让用户疯狂和离开。
因此,为什么不为默认的每个表单设置一个标记,并为选定的标记设置CAPTCHA?
+2
要求交互式用户输入防止XSRF;因为验证码需要交互式用户输入,所以它们可以用来防止XSRF,就像令牌一样。 – erickson 2010-09-27 18:52:15
相关问题
- 1. 验证是否需要TCP?
- 2. 是否需要验证函数参数?
- 3. 我们是否需要针对每个POST请求进行CSRF验证?
- 4. 是否需要CSRF保护以防OAUTH2
- 5. JavaDoc中是否需要作者标记?
- 6. 是否需要关键字元标记?
- 7. ajax加载的表单是否需要验证码
- 8. 烧瓶和csrf标记
- 9. CSRF Codeigniter 3验证
- 10. 后面的C#代码需要验证
- 11. “W3C标记验证”的网站是否已通过认证?
- 12. 嵌套记录验证:需要验证小孩和父母一起
- 13. 要验证码或不验证码
- 14. 是否所有源代码都需要符合PCI规范?
- 15. Django CSRF验证CSRF验证失败。请求异常终止
- 16. 你需要验证通讯订阅验证码吗?
- 17. 需要验证xml - 需要帮助
- 18. jquery验证需要vs不需要
- 19. XHTML标记验证
- 20. 是不是真的有必要对SEO目的competely验证标记和CSS
- 21. 要么是必需的验证
- 22. 是否有任何验证码角度指令,不需要后端
- 23. URI不验证在W3C标记验证器,相同的直接输入是否
- 24. 需要与W3C和表单验证
- 25. php mail:检查服务器是否需要验证?
- 26. 我们是否需要为gcnew创建指针验证
- 27. 提交SQL查询时是否需要验证列名?
- 28. 验证SQLServer安装是否需要重启
- 29. 表单身份验证是否需要SSL?
- 30. 我的身份验证方法是否安全/需要改进?
这是一个很好的问题,它取决于CSRF的基本原理。 – rook 2010-10-19 19:07:22