我认为我的问题的答案是否定的,但我只是想澄清一下。 我有一个不需要登录的网页。 用户基本上是匿名的。 该表格要求他们填写个人信息,然后上传一些敏感文件。
考虑到他们将上传的敏感信息,CSRF 保护是否有意义? 请记住,不需要登录,所以我不太确定它是否有任何用处?
任何澄清都值得赞赏。
谢谢
CSRF 基本上可以防止攻击者以另一个用户的名义(通过该用户的机器和互联网连接)做某事。如果您担心这一点(例如,您记录了IP地址,并且不希望攻击者使用其他人的IP发送请求,或者违背他人的意愿记录其他人的IP),则应使用CSRF保护。如果你不担心,无论如何你都应该使用 CSRF 保护,这是一个很好的做法:)但你不需要。
此外,CSRF 不能用于上传文件(除非浏览器错误或非常宽松的 CORS 设置)。