0

我有一个书签,可以将表单注入到另一台服务器的网页中。此表单使用 jQuery 通过 JSONP 将数据提交回我的服务器,并将提交的数据添加到数据库中。

问题:这个注入的表单还在隐藏字段中包含一个 CSRF 令牌:

<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">

这仍然会带来 CSRF 风险吗?

4

1 回答 1

0

该页面仍然可以被远程抓取和提交。这是一种威慑,但不是绝对的解决方案。它会停止链接,但有人可以远程发布表单。

您也可以检查引荐来源网址,但某些客户端和防火墙会阻止发送引荐来源网址。

一种解决方案是在提交时通过 js 设置一个 cookie,然后验证该服务器端。

于 2012-12-07T03:22:46.653 回答