Question

Может ли кто-нибудь подтвердить это: мне нужно предоставить и токен CSRF, и капчу в форме отправки, или эти два более или менее выполняют одну и ту же функцию (одну можно использовать вместо другой)?

rook · Answer 1 · 27 сентября 2010

Вместо токена CSRF может использоваться капча. Это описано в OWASP CSRF Prevention Guide . Капча считается более сильной формой предотвращения CSRF, чем проверка токена или реферера, потому что ее нельзя обойти с помощью XSS.

Your Common Sense · Answer 2 · 27 сентября 2010

Да, я был неправ. И капча, и токен привязаны к сеансу.

Однако я все еще не вижу большого смысла в этом вопросе.
Вы не можете использовать CAPTCHA для каждой формы на сайте. Это сведет пользователей с ума и прочь.
Таким образом, почему бы не иметь токен для каждой формы по умолчанию и CAPTCHA для выбранных?

Нужны ли как токены csrf, так и код безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нужны ли как токены csrf, так и код безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы