【发布时间】:2021-09-27 23:51:58
【问题描述】:
我真正想知道的是,我是否需要将 CSRF 令牌添加到不使用 cookie 的网站上的表单中?我不在我的网站上使用 cookie,我使用会话。当然,对于我所有的表格,我都使用 post 方法。如果我需要使用它们,你能解释一下为什么,因为我读到 CSRF 攻击是通过存储在 Web 浏览器中的 cookie 发生的。所以,我的逻辑是没有 cookie,没有 CSRF 攻击。我说的对吗?
非常感谢。
【问题讨论】:
-
会话信息一般存储在cookies中。您的会话如何存储在客户端?
-
“我的逻辑是没有 cookie,没有 CSRF 攻击”——这是正确的,但不清楚这是否真的不适用于你的情况,除非你能澄清您的会话是如何工作的。
-
我有会话,但不使用 cookie,因为它们在浏览器中,而会话在服务器端。例如,我在用户登录后设置的那些会话: $_SESSION['user_id'] = $result["usr_id"]; $_SESSION['user_loggedin'] = TRUE; $_SESSION['username'] = $result['username']; $_SESSION['email'] = $result['email'];
-
那些会话使用cookies!!浏览器获取一个 cookie,其会话 id 与其服务器端会话相对应!你觉得具体的浏览器还能怎么识别呢‽
-
如果您不使用令牌,您很容易受到 CSRF 攻击。
标签: php forms security csrf csrf-token