我已经阅读了很多有关 CSRF 保护的内容,但是我有一个疑问,我无法澄清,甚至在 stackoverflow 中也无法澄清。
因此,我正在使用 Flask 构建一个 Web 应用程序,并且有一个名为 csrf_token 的函数,您可以调用该函数来生成令牌并将其放入表单(在本例中为登录表单)作为隐藏输入。但是,我在想,如果攻击者进入登录站点来获取他的 csrf 令牌,这是否会破坏该站点上的 csrf 保护?因为这样他就可以将他的 csrf 令牌附加到 ajax 请求中,这基本上等于没有任何保护。