CSRF 真的有用吗

问答 / 1900 / 9 / 创建于 5年前 / 更新于 5年前

只要查看源码，csrf-token一目了然，全在页面源码里面

php database

9 声望

服务端工程师 @ 秘密

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

PHP Annotated——2023 年 12 月 25 / 2 |

借着Laracon的热潮，在这里留个static-php-cli的分享！ 19 / 19 |

[求职] 陈大剩的个人简历 15 / 22 |

自己整理的php面试知识点 44 / 47 |

🎈 Slow Admin - 使用Laravel和Amis快速构建你的后台 31 / 40 |

Go实现支持多种协议的抓包工具——Shermie-Proxy 27 / 38 |

讨论数量: 9

ALMAS

课程读者 128 声望 / 研发工程师 @ 华云数据

去了解一下CSRF攻击

5年前评论

panco

9 声望 / 服务端工程师 @ 秘密

我知道是为了防止攻击，但是攻击者可以从页面源码获取到token，攻击还是照样进行的

5年前评论

Wi1dcard

管理员 2.1k 声望

CSRF 是防止伪造跨站请求，跨站怎么从页面源码获取 Token？如果你说的是用户使用一个伪造浏览器，那实际上攻击者也不需要读取页面源码了，直接拿到 Cookie 发送请求即可。

5年前评论

欧阳逸

在程序里面，根据url先获取页面源代码，查到csrf_token然后再攻击呢？

xing393939

@欧阳逸这种情况可以分为登录态和非登录态，非登录态你说的情况是存在的，登录态黑客就无法获取这个csrf_token了（除非已经窃取了登录凭证）

没前途的程序员

课程读者 72 声望

查看源码是你登录了自己账户去查看到而已，跨站攻击者怎样去查看到你账户登录状态的源码

5年前评论

欧阳逸

9 声望

@Alex_D 不一定是要登陆之后吧？有的页面提交是不需要登陆的，譬如填写注册信息；收集一些表格数据。别人一直提交，这个也属于跨站攻击吧？

3年前评论

babyObama

9 声望

csrf是防止重复提交吧

2年前评论

静静的天空

0 声望

不开启的话，攻击只需要发送请求，开启要先拉取再发送。

4个月前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

9 声望

服务端工程师 @ 秘密

纠错改进

成为赞助商