Security 验证码:够了吗?
我正在实施。Security 验证码:够了吗?,security,captcha,Security,Captcha,我正在实施。 我只是想知道我是否需要花一些时间来实施验证码,或者验证码是否消除了对CSRF的需要?我不确定验证码如何提供任何防范CSRF的措施。当用户使用安全站点进行身份验证,然后访问恶意站点,然后通过表单、图像和AJAX(利用已验证的连接)向安全站点提交请求时,就会发生CSRF 验证码仅确保某人是人,通常用于确保评论者或新注册者是人,而不是机器人。我决不会依赖验证码来实现任何安全性,因为机器人现在比人类更擅长阅读其中的一些内容。验证码可以防止CSRF攻击,因为受害者需要破解验证码才能同意攻击者
我只是想知道我是否需要花一些时间来实施验证码,或者验证码是否消除了对CSRF的需要?我不确定验证码如何提供任何防范CSRF的措施。当用户使用安全站点进行身份验证,然后访问恶意站点,然后通过表单、图像和AJAX(利用已验证的连接)向安全站点提交请求时,就会发生CSRF
验证码仅确保某人是人,通常用于确保评论者或新注册者是人,而不是机器人。我决不会依赖验证码来实现任何安全性,因为机器人现在比人类更擅长阅读其中的一些内容。验证码可以防止CSRF攻击,因为受害者需要破解验证码才能同意攻击者伪造的请求。然而,我宁愿实现一个透明的CSRF保护,因为为每个请求解决Captcha(有副作用)对用户来说是非常烦人的。如果您为此使用验证码,您将需要用户每次都输入验证码,这是一场可用性噩梦。还有其他解决方案可以在不影响用户体验的情况下充分解决此问题。对于用户必须填写的每个表单,他将被迫填写另一个验证码,以避免bot自动化。