有人可以确认这一点吗:我需要同时以提交形式提供CSRF token 和验证码吗,还是两者或多或少都具有相同的功能(可以使用一个代替另一个)?
最佳答案
可以使用验证码代替CSRF token 。这在OWASP CSRF Prevention Guide中介绍。验证码比 token 或引用检查被认为是CSRF预防的一种更强形式,因为它不能被XSS绕过。
关于forms - 是否同时需要csrf token 和验证码?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/3806700/