1

ユーザーが自分のWebサイトに登録できるHTMLフォームを持っています。最近、reCAPTCHAをWebページにインストールして、自動登録を停止しました。今日、誰かがあなたの登録がcsrf攻撃のリスクがあると考えていると言いました。私はコーダーなどではないので、いくつかの小さなWebサイトを実行しているので調べましたが、すべての例はWebサイトのアクションなどですが、フォームが行うのはデータベースに入力を入力することだけです。私のフォームは危険にさらされていますか?私が危険にさらされている場合、単純なトークンでこれが起こらないようにしますか?

ここにコードを投稿できなかったので、フォームコードはhttp://pastebin.com/rLxAAMFQにあります

4

1 に答える 1

5

サーバー側のコードが常に有効な CAPTCHA を要求する場合 (そうすべきです)、ここでのリスクはまったくありません。CAPTCHA は、反 CSRF トークンとしても機能します。

CSRF 攻撃は、攻撃者が被害者から送信された場合に有効と見なされるリクエストを作成する方法を事前に知っているという事実に基づいています。キャプチャがどうなるかを前もって予測することは明らかに不可能です。

于 2012-04-23T11:47:00.007 に答える