CSRF 真的有用吗

问答 / 1 / 9 / 创建于 6年前 / 更新于 6年前

只要查看源码，csrf-token一目了然，全在页面源码里面

php database

9 声望

服务端工程师 @ 秘密

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

花了四个月打磨的 Laravel Plus 开源 30 / 98 |

PHP 程序员转 Go 语言的经历分享 19 / 12 |

手摸手带你使用 docker-compose 编排一个开发环境 20 / 15 |

[求职] 重生之不再做PHP 12 / 83 |

冯老师的困惑 —— PHP 挂了 21 / 4 |

PHP使用yield 读取超大型目录、大目录的方法 16 / 14 |

讨论数量: 9

ALMAS

课程读者 131 声望 / 研发工程师 @ 华云数据

去了解一下CSRF攻击

6年前评论

panco

9 声望 / 服务端工程师 @ 秘密

我知道是为了防止攻击，但是攻击者可以从页面源码获取到token，攻击还是照样进行的

6年前评论

Wi1dcard

管理员 2.1k 声望

CSRF 是防止伪造跨站请求，跨站怎么从页面源码获取 Token？如果你说的是用户使用一个伪造浏览器，那实际上攻击者也不需要读取页面源码了，直接拿到 Cookie 发送请求即可。

6年前评论

欧阳逸

在程序里面，根据url先获取页面源代码，查到csrf_token然后再攻击呢？

xing393939

@欧阳逸这种情况可以分为登录态和非登录态，非登录态你说的情况是存在的，登录态黑客就无法获取这个csrf_token了（除非已经窃取了登录凭证）

没前途的程序员

课程读者 72 声望

查看源码是你登录了自己账户去查看到而已，跨站攻击者怎样去查看到你账户登录状态的源码

6年前评论

欧阳逸

9 声望

@Alex_D 不一定是要登陆之后吧？有的页面提交是不需要登陆的，譬如填写注册信息；收集一些表格数据。别人一直提交，这个也属于跨站攻击吧？

4年前评论

babyObama

9 声望

csrf是防止重复提交吧

3年前评论

静静的天空

0 声望

不开启的话，攻击只需要发送请求，开启要先拉取再发送。

1年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

9 声望

服务端工程师 @ 秘密

纠错改进

成为赞助商