我有一个HTML表单,允许用户注册我的网站,我最近安装reCAPTCHA到网页上停止自动注册,今天有人说他们认为你的注册有csrf攻击的风险.我不是一个编码器或任何我只是运行一些小网站的东西,所以我查了一下,但所有的例子都是用于网站操作之类的东西,但我的表单唯一的做法就是输入数据库.我的表格有风险吗?如果我处于危险之中会有一个简单的标记阻止这种情况发生吗?
我无法在此处发布代码,因此表单代码位于http://pastebin.com/rLxAAMFQ
如果你的服务器端代码总是需要一个有效的CAPTCHA(它应该),那么这里绝对没有风险.CAPTCHA还具有双重功能,作为反CSRF令牌.
CSRF攻击围绕这样一个事实,即攻击者提前知道如何构建一个如果受害者发送将被视为有效的请求.显然他们无法提前预测验证码是什么,否则我们现在都会在街头杀死垃圾箱.