打开浏览器并输入admin的URL并成功登录,进入名为announcements的内页并添加了新的公告。打开一个带有表单操作的记事本写杂项html页面,并使用隐藏字段删除已添加的公告和隐藏的CSRF令牌,我可以从已打开的浏览器选项卡中找到该令牌。接下来在同一浏览器中打开新选项卡并使用submit打开其他html页面,并删除添加的公告,因为CSRF令牌已匹配。怎么预防这个?我是用PHP 5完成的。
答案 0 :(得分:0)
您不应该阻止这种情况 - 攻击者无法从当前用户的会话中读取CSRF令牌 - 应将CSRF令牌绑定到每个用户会话。 CSRF令牌不应该在除生成它之外的会话中使用。
任何不这样做的实现都是有缺陷的。