我有一个HTML表单,允许用户注册我的网站,我最近在网页上安装了reCAPTCHA以停止自动注册,今天有人说他们认为您的注册有CSRF攻击的风险。我不太像编码员或任何东西,我只是运行几个小网站,所以我查了一下,但所有的例子都是针对网站操作之类的东西,但我的表单唯一要做的就是将输入输入到数据库中。我的表格有风险吗?如果我有风险,一个简单的令牌会阻止这种情况发生吗?
我无法在此处发布代码,因此表单代码处于 http://pastebin.com/rLxAAMFQ
如果您的服务器端代码总是需要有效的验证码(它应该),那么这里绝对没有风险。CAPTCHA作为反CSRF代币也具有双重职责。
CSRF 攻击围绕着这样一个事实,即攻击者提前知道如何构建一个请求,如果受害者发送该请求将被视为有效。显然,他们无法提前预测验证码是什么,否则我们现在都会在街上杀死垃圾邮件插件。