打开浏览器,输入管理员的URL并成功登录,进入一个名为公告的内部页面,添加了一个新的公告。打开了一个带有表单操作和隐藏字段的记事本写杂项html页面,以删除添加的公告和隐藏的CSRF令牌,我可以从已经打开的浏览器选项卡中知道。接下来,在同一浏览器中打开了新选项卡,并打开了带有提交的杂项html页面。由于CSRF令牌匹配,因此删除了添加的公告。如何防止这种情况发生?我使用PHP 5完成了这项工作。
您不需要阻止这种情况-攻击者将无法从当前用户的会话中读取CSRF令牌-CSRF令牌应绑定到每个用户会话。CSRF令牌不可能在生成它的会话之外的会话中使用。
任何不这样做的实现都是有缺陷的。