1

我有一个允许用户注册我的网站的 HTML 表单,我最近在网页上安装了 reCAPTCHA 以停止自动注册,今天有人说他们认为您的注册有遭受 csrf 攻击的风险。我不是一个编码员或任何东西,我只是运行一些小型网站,所以我查了一下,但所有示例都是针对网站操作等内容,但我的表单唯一要做的就是将输入输入到数据库中。我的表格有风险吗?如果我有风险,一个简单的令牌会阻止这种情况发生吗?

我无法在此处发布代码,因此表单代码位于http://pastebin.com/rLxAAMFQ

4

1 回答 1

5

如果您的服务器端代码总是需要有效的验证码(它应该),那么这里绝对没有风险。CAPTCHA 作为反 CSRF 令牌也有双重职责。

CSRF 攻击围绕这样一个事实,即攻击者提前知道如何构建一个如果由受害者发送的请求将被视为有效。显然他们无法提前预测验证码将是什么,否则我们现在都会在街上杀死垃圾邮件机器人。

于 2012-04-23T11:47:00.007 回答