Php 如果我们验证用户是否登录,我们是否仍然需要使用表单令牌来避免CSRF攻击?
假设在提交表单时,请求被发送到FormToDatabase.php FormToDatabase.php验证用户是否已登录或未使用Php 如果我们验证用户是否登录,我们是否仍然需要使用表单令牌来避免CSRF攻击?,php,Php,假设在提交表单时,请求被发送到FormToDatabase.php FormToDatabase.php验证用户是否已登录或未使用 if(!isset($_SESSION['user'])){ echo 'Log In First'; die(); } 当涉及到CSRF时,攻击者将无法发送请求,因为用户需要登录 那么,是否有必要使用表单/链接令牌来提高安全性?“攻击者将无法发送请求,因为用户需要登录。”…不,这根本不是真的。因为攻击也可能在用户登录后发生。你能从理论上解释一下吗?网上已经有很多
if(!isset($_SESSION['user'])){
echo 'Log In First';
die();
}
当涉及到CSRF时,攻击者将无法发送请求,因为用户需要登录
那么,是否有必要使用表单/链接令牌来提高安全性?“攻击者将无法发送请求,因为用户需要登录。”…不,这根本不是真的。因为攻击也可能在用户登录后发生。你能从理论上解释一下吗?网上已经有很多csrf解释者,他们可能比我在简短评论中解释得更好。但基本上,任何时候都无法阻止恶意请求的发生,所以从这个意义上讲,登录和退出没有区别。事实上,在大多数情况下,这样的请求只有在用户登录后才能真正成功。例如,有一个非常深入的指南,明白了,谢谢大家