2012-04-23 18 views
1

私は自分のウェブサイトに登録できるHTMLフォームを持っています。私は最近自動登録を止めるためにreCAPTCHAをウェブページにインストールしました。今日誰かがあなたのレジスターがcsrf攻撃の危険にさらされていると思っていました。私はあまりコーダーや何か私はちょうどいくつかの小さなウェブサイトを実行するので、私はそれを見たが、すべての例は、ウェブサイトのアクションなどのものですが、私のフォームは、データベースに入力を入力する唯一のものです。私のフォームは危険ですか? もし私が危険にさらされているのであれば、単純なトークンはこれをやめてしまいますか?私のHTMLフォームは危険ですか?

サーバー側のコードは、常に(それがなければならない)、その後ここにはリスクは絶対にありません有効なCAPTCHAを要求した場合、フォームのコードがhttp://pastebin.com/rLxAAMFQ

+2

あなたのcaptchaはあなたのCSRF攻撃防御です – PeeHaa

答えて

5

であるので、私はここにコードを投稿することができませんでした。 CAPTCHAは、反CSRFトークンとしても二重の義務を果たします。

CSRF攻撃は、攻撃者がの前にを知っているという事実を念頭において、犠牲者によって送信された場合に有効とみなされる要求を構築する方法を中心に展開します。明らかに、彼らはキャプチャが何であるかを事前に予測することはできません。さもなければ、私たちは皆、今ではスパムロボットを殺して通りに出ています。

関連する問題