CSRF 真的有用吗

问答 / 1901 / 9 / 创建于 5年前 / 更新于 5年前

只要查看源码，csrf-token一目了然，全在页面源码里面

php database

9 声望

服务端工程师 @ 秘密

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

推荐文章：

更多推荐...

PHP Annotated——2023 年 12 月 25 / 2 |

借着Laracon的热潮，在这里留个static-php-cli的分享！ 19 / 19 |

[求职] 陈大剩的个人简历 15 / 22 |

自己整理的php面试知识点 44 / 47 |

🎈 Slow Admin - 使用Laravel和Amis快速构建你的后台 31 / 40 |

Go实现支持多种协议的抓包工具——Shermie-Proxy 27 / 38 |

讨论数量: 9

Wi1dcard

管理员 2.1k 声望

CSRF 是防止伪造跨站请求，跨站怎么从页面源码获取 Token？如果你说的是用户使用一个伪造浏览器，那实际上攻击者也不需要读取页面源码了，直接拿到 Cookie 发送请求即可。

5年前评论

欧阳逸

在程序里面，根据url先获取页面源代码，查到csrf_token然后再攻击呢？

xing393939

@欧阳逸这种情况可以分为登录态和非登录态，非登录态你说的情况是存在的，登录态黑客就无法获取这个csrf_token了（除非已经窃取了登录凭证）

panco

9 声望 / 服务端工程师 @ 秘密

我知道是为了防止攻击，但是攻击者可以从页面源码获取到token，攻击还是照样进行的

5年前评论

ALMAS

课程读者 128 声望 / 研发工程师 @ 华云数据

去了解一下CSRF攻击

5年前评论

没前途的程序员

课程读者 72 声望

查看源码是你登录了自己账户去查看到而已，跨站攻击者怎样去查看到你账户登录状态的源码

5年前评论

欧阳逸

9 声望

@Alex_D 不一定是要登陆之后吧？有的页面提交是不需要登陆的，譬如填写注册信息；收集一些表格数据。别人一直提交，这个也属于跨站攻击吧？

3年前评论

babyObama

9 声望

csrf是防止重复提交吧

2年前评论

静静的天空

0 声望

不开启的话，攻击只需要发送请求，开启要先拉取再发送。

5个月前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

9 声望

服务端工程师 @ 秘密

纠错改进

成为赞助商