Задать вопрос
Adobe
@Adobe
php developer

Нужна ли каптча при csrf защите?

Собственно может ли бот так же подсовывать csrf? Можно ли не пользоваться каптчей, если есть csrf защита?
  • Вопрос задан
  • 419 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
alexey-m-ukolov
@alexey-m-ukolov Куратор тега PHP
csrf - это токен, который вы передате в ответе на запрос. Следовательно, получить и использовать его может и бот.
Ну и вообще, он придуман не для этих целей.
Ответ написан
Комментировать
goodwin74
@goodwin74
Не вижу связи между csrf и капчей
Ответ написан
Комментировать
thecoder
@thecoder
Разработчик веб-приложений и сервисов.
Никаких препятствий для бота csrf не представляет. Например, я могу открыть сайт через phantomjs и программно нажать кнопку сабмита. Все нужные поля и куки будут на месте.

Csrf нужен для того, чтобы уже залогиненный у вас пользователь не мог в фоновом режиме выполнять действия, посещая левый сайт. Т.е. зашел на порносайт, а он наспамил втихаря записей в твиттер, потому что в твиттере пользователь уже залогинен. Чтобы этого не было - генерируют токен при открытии оригинального сайта и привязывают к пользовательской сессии.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы