我正在构建一个简单的待办事项列表,用户将在该列表中登录(使用csrf-token),然后才能将项目添加到待办事项列表中。在用户登录后,我是否需要使用AJAX(待办事项列表项)将csrf_tokens添加到提交中?我使用基于会话的身份验证。
答案 0 :(得分:2)
嗯,我说是的,你必须这样做,看一下摘录自owasp(开放式网络应用安全项目)文档:
定位普通用户时,成功的CSRF攻击可能会受到影响 最终用户数据及其相关功能。如果是目标最终用户 是一个管理员帐户,CSRF攻击可以危及整个 Web应用程序。更容易受到攻击的网站是 社区网站(社交网络,电子邮件)或网站很高 与他们相关的美元价值账户(银行,股票经纪人, 账单支付服务)。 即使用户已登录,也可能发生此攻击 使用强加密(HTTPS)进入网站。利用社交 在工程方面,攻击者会嵌入恶意HTML或JavaScript代码 进入电子邮件或网站请求特定的“任务网址”。任务 然后直接或者在用户不知情的情况下执行 利用跨站点脚本漏洞(例如:Samy MySpace蠕虫)。